Quels sont les plus gros problèmes non résolus de la sécurité informatique?
Juste récemment, j'ai pensé à tous les problèmes résolus de la sécurité informatique, comme XSS (que l'on peut atténuer la validation de l'entrée), l'injection SQL (atténuée avec des énoncés préparés), etc.
Maintenant, je me demande, quels sont les principaux problèmes de sécurité non résolus de l'année 2010? Je me demande ici s'il y a des vulnérabilités pour lesquelles nous ne savons pas encore un bon moyen de les atténuer. Sauf comment nous pouvons obtenir tout le monde à utiliser les solutions aux problèmes résolus.
Vous ne pouvez pas vraiment résoudre le problème de l'utilisateur final. Bien, légalement ou éthique quand même. Mon vote va vers le problème de la découverte du royaume domestique.
EDIT: Le problème de l'utilisateur final était en référence aux réponses précédemment publiées. Accueil Realm Discovery fait partie d'un modèle d'authentification basé sur les revendications, où vous pouvez sélectionner plusieurs services/organisations à fournir une identité d'un utilisateur, un peu comme OpenID/Openauth. Le problème se pose lorsque vous devez déterminer quel fournisseur pour obtenir des informations depuis que vous ne savez rien à l'utilisateur. C'est une chose de poulet/d'œuf: comment déterminez-vous qui d'authentifier l'utilisateur lorsque vous ne savez pas qui l'utilisateur utilise pour fournir leur identité.
La première réponse évidente est d'utiliser un seul fournisseur, mais ce genre de nier le bénéfice du modèle.
La deuxième réponse évidente est de demander à l'utilisateur. Cependant, c'est la chute d'OpenID. La plupart des gens n'ont aucune idée de qui est leur fournisseur. Et que se passe-t-il lorsque vous pouvez vous authentifier contre Google et Facebook, mais que vous ne savez pas lequel est lié au profil de l'application appelante?
Ceci est affectueusement appelé problème NASCAR avec OpenID - la page de lancement de OpenID dispose généralement d'un logos de bajillion pour les fournisseurs. Vous devez donc sélectionner le fournisseur à utiliser. Qui casse lorsque vous avez un fournisseur personnalisé.
N'oubliez pas que les cartes de cardespace/InfoCard/Information? Qui tente de résoudre le problème. C'est en fait un très bon travail théoriquement. Pratiquement pasomeut.
Les gens qui ne pensent pas avec la sécurité à l'esprit.
Autant que je sache, il n'y a pas de solution réelle pour empêcher la clickjacking ou la gratte. Pour ce dernier, les meilleures solutions sont la surveillance basée sur IP ou un CAPTCHA sur chaque charge de page. Aucun d'entre eux sont parfaits.
Se connecter en toute sécurité à l'Internet public?