לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


9/2008

בין טפשות מוחלטת לטמטום גמור


משרד האוצר מבקש מקופות הגמל לקבל נתוני זיהוי של לקוחות על מנת שיוכל לבדוק את השירותים המסופקים להם. כמובן שמבחינת פגיעה בפרטיות לא ניתן לתאר דרישה זו אלא כפגיעה חמורה ולא נחוצה בפרטיות. משרד האוצר יכול לקבל משתמש פיקטיבי שיאפשר לו לבחון את כל השירותים שמקבלים העמיתים בלי לצפות בנתונים עצמם. לטובת בדיקות אבטחה מקובל להקים משתמשים פיקטיביים בסביבת הייצור של גופים פיננסיים על מנת שניתן יהיה לבחון את רמת האבטחה האפליקטיבית בסביבת הייצור. משתמש כזה יכול לבצע את כל הפעולות, למעט העובדה שאין להן כל משמעות כספית.

אבל בדרישה של משרד האוצר מסתתר מלכוד 22 קטן. אם החברות יספקו שם משתמש וסיסמא הן מודות כי באפשרותן לאחזר את סיסמאות המשתמשים. זה לכשעצמו צריך להיות עילה לתביעה כנגדן בגין היעדר הקפדה על דרישות אבטחה מינימליות. סיסמאות משתמשים אמורות להיות מוצפנות ב-Hash (עם קצת מלח בבקשה) ובלתי ניתנות לאחזור. לחילופין, אם רמת האבטחה ביישומים נאותה, עמידה בדרישת האוצר פירושה פגיעה בשירות לעמיתים שכן יש לאפס את סיסמת המשתמש ללא ידיעתו. זה לכשעצמו דרישה בלתי סבירה בעליל. נניח שהסיסמה הועברה לידי האוצר ונעשה בה שימוש לרעה. מי נושא באחריות? האם משרד האוצר? האם קופת הגמל?

על הציר שבין טפשות מוחלטת לטמטום גמור אני מתקשה למצוא את המיקום המדויק של החלטה זו. אבל ללא ספק היא יכולה להיכנס לפנתיאון ההחלטות המיותרות והמטופשות ביותר בהן נתקלתי.
נכתב על ידי , 22/9/2008 20:53   בקטגוריות אבטחת אפליקציה, פרטיות  
6 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט



כינוי: 

גיל: 44




64,986
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2019 © נענע 10 בע"מ