לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


7/2009

שימושיות ואבטחת מידע


החלטתי לפתוח מדור חדש. ברשימות קרובות ועתידיות אנסה להתייחס קצת להשפעה של עיצוב שימושיות על אבטחת המידע במערכות. ככלל, תחום אבטחת המידע מתוכנן לרוב על ידי מומחים בתחום עבור מומחים בתחום. הבעיה היחידה בתפיסה הזו היא שאבטחת מידע מיושמת בפועל על ידי אנשים שאינם מומחי אבטחת מידע (משתמשי המחשב הארגוניים).
אתחיל בשתי דוגמאות משני עולמות שונים: יישום SSL בעולם (דוגמא שחוקה, אך חשובה) ורכבת ישראל. אני מקווה בהמשך להרחיב ביותר דוגמאות.

מנגנון ה-SSL המוכר בדפדפנים אמור היה לספק מנגנון אבטחה מעולה. תעודה דיגיטלית, מבוססת על קריפטוגרפיה חזקה, מאפשרת לכל גולש לאמת בצורה מעולה מול איזה אתר הוא פועל. יתר על כן, בתעודה הדיגיטלית רשומה כתובת האתר וזו מוצלבת על ידי הדפדפן ובעת צרה הדפדפן מתריע. אלא מה, המעצבים של פתרון זה לא לקחו בחשבון שהמשתמשים פשוט אינם יודעים לקרוא תעודות דיגיטליות ואינן מבינים את הודעות האזהרה. במקום לייצר מנגנון פשוט שמשתמשים מן היישוב יוכלו להבינו יצרו המתכננים פתרון טכנולוגי מצוין אך לא שימושי. בשנה האחרונה נכנסה לשימוש תעודה חזקה, מי מכם שיגלוש לדוגמא לאתר בנק הפועלים יראה כי שורת ה-URL צבועה בירוק. אלא שתעודה שכזו עולה יותר כסף ובלאו הכי, רוב התעודות אינן ירוקות. בפועל, גולשי בנק הפועלים אינם יודעים (וכיצד יידעו) כי עליהם לצפות לתעודה ירוקה ובהיעדרה, מה עליהם לעשות? אין לי פתרון שימושיות טוב לעניין ה-SSL, אבל די ברור שאחת הסיבות לפשטותן של הונאות פישינג בתחילת דרכן נבעה מהעובדה שמשתמשים פשוט התרגלו למה שלימדו אותם - אם יש ציור של מנעול, האתר בטוח.

עד כאן SSL. היציאה מרכבת צפון (סבידור מרכז לאלו שלא יודעים מה זה רכבת צפון) מרוחקת משערי הכניסה ומבוצעת באמצעות סבסבות חד כיווניות. פתרון מעולה, אך לא כזה שלוקח בחשבון את קהל היעד. אם למשל אתם הורים עם ילדים קטנים ועגלות, אין לכם ממש איך לצאת מהתחנה. כיצד יוצאים בעלי העגלות (שלא לדבר על בעלי מוגבלויות)? פשוט מאוד: דרך דלתות החירום, אלו שאמורות להיות נעולות ועליהן המאבטחים לא באמת משגיחים. בפועל, אין בעיה להכנס דרך הדלתות הללו (ולא דרך הכניסה המסודרת), כיוון שתמיד יימצא מישהו שייצא מדלתות אלה (טוב, האמת היא שאני מניח שכולם נוהגים כמוני, אך בהחלט ייתכן שישנם כאלה שזורקים עגלות או ילדים מעבר לגדר). מנגנון אבטחה פיסי חייב להבנות באותם תקנים בהם מחוייבת בניית מבנים, קרי - נגישות לבעלי צרכים מיוחדים. המשתמשים תמיד יגברו על פתרון האבטחה במקרים בהם קיימת התנגשות בין שימושיות לאבטחה.
נכתב על ידי , 29/7/2009 20:58   בקטגוריות אבטחה פיסית, כרטיסים חכמים, הצפנות ושמונצס, ניהול אבטחת מידע, שימושיות  
6 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט



כינוי: 

גיל: 44




64,987
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2019 © נענע 10 בע"מ