Je suis récemment tombé sur un système où toutes les connexions à la base de données étaient gérées par des routines obscurcies de différentes manières, notamment l'encodage en base 64, les sommes md5 et diverses autres techniques.
Est-ce juste moi, ou est-ce exagéré? Quelles sont les alternatives?
La sécurité à travers l'obscurité serait enterrer votre argent sous un arbre. La seule chose qui le rend sûr est que personne ne sait qu'il est là. La vraie sécurité consiste à le mettre derrière une serrure ou une combinaison, par exemple dans un coffre-fort. Vous pouvez placer le coffre-fort au coin de la rue, car ce qui le sécurise, c'est que personne ne peut y pénétrer à part vous .
La sécurité par l'obscurité peut être dit d'être mauvaise, parce qu'elle implique souvent que l'obscurité est le principal moyen de sécurité. L'obscurité est bien jusqu'à ce que l'on découvre, mais une fois que quelqu'un a travaillé votre particulier l'obscurité, alors votre système est vulnérable à nouveau. Compte tenu de la persistance des attaquants, ce qui équivaut à pas de sécurité du tout.
L'obscurité ne doit jamais être utilisé comme une alternative appropriée des techniques de sécurité.
L'obscurité comme un moyen de cacher votre code source pour empêcher la copie est un autre sujet. Je suis plutôt divisés sur ce sujet; je peux comprendre pourquoi vous pourriez le faire, personnellement je n'ai jamais été dans une situation où il serait voulu.
La sécurité par l'obscurité est un sujet intéressant. Il est (à juste titre) décrié comme un substitut pour une sécurité efficace. Un typique principe de la cryptographie est qu'un message est inconnue, mais le contenu ne le sont pas. Algorithmes pour encyrption sont généralement largement publié et analysé par les mathématiciens et, après un temps, une certaine confiance dans leur efficacité, mais on ne peut jamais garantir qu'ils sont efficaces.
Certaines personnes se cachent les algorithmes cryptographiques, mais cela est considéré comme une pratique dangereuse, car alors ces algorithmes n'ont pas traversé la même attention. Seuls les organismes comme la NSA, qui ont un important budget et le personnel des mathématiciens, peuvent s'en tirer avec ce genre d'approche.
L'un des plus intéressants développements au cours des dernières années a été le risque de la stéganographie, qui est la pratique est de cacher le message des images, des fichiers audio ou quelque autre moyen. Le plus gros problème dans steganalysis est de déterminer si oui ou non un message est là ou pas, ce qui rend cette sécurité par l'obscurité.
L'année dernière, je suis tombé sur une histoire que les Chercheurs de Calculer la Capacité d'un Stéganographiques Canal , mais la chose vraiment intéressante à ce sujet est:
L'étude d'un stego-canal de cette façon conduit à des contre-intuitif les résultats: par exemple, dans certaines les circonstances, en doublant le nombre de les algorithmes de recherche de données cachées peuvent augmentation de la capacité de l' stéganographiques canal.
En d'autres termes, plus les algorithmes que vous utilisez pour identifier les messages les moins efficaces, il devient, ce qui va à l'encontre de la normale à la critique de la sécurité par l'obscurité.
Des choses intéressantes.
La principale raison pour laquelle c'est une mauvaise idée est que cela ne corrige pas les problèmes sous-jacents, mais tente simplement de les masquer. Tôt ou tard, les problèmes seront découverts.
En outre, un cryptage supplémentaire entraînera une surcharge supplémentaire.
Enfin, une obscurité excessive (comme l'utilisation de sommes de contrôle) fait de la maintenance un cauchemar.
De meilleures solutions de sécurité consistent à éliminer les faiblesses potentielles de votre code, telles que les entrées forcées pour prévenir les attaques par injection.
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
