日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

【自12月29日外電頭條】2009年即將過去，新的一年即將來到。盤點過去更有助于規(guī)劃未來，IT自由撰稿人Chad Perrin分享了他在過去一年中碰到的十大安全誤解。

一、做對某些事情意味著你不會犯錯

不要因為做對了某些事情而沾沾自喜。尤其在安全方面更是如此。加固系統(tǒng)安全永遠(yuǎn)沒有真正完成的時候，因為安全不是遵循好的防護(hù)行為的必然最終結(jié)果，提高安全性總有更多的事情可做。安全更像是一個過程而非目標(biāo)，更像是一個旅程而非終點，更像是一種行為而非產(chǎn)品。

同樣，如果你做對了某些事情，并不一定代表你不會犯錯。在選擇安全解決方案時所有人都應(yīng)該牢記此點。當(dāng)Coverity公司宣布它將為開源項目提供代碼審核支持時，我們應(yīng)該為其鼓掌，但同時會問一句，“明天的計劃是什么？”當(dāng)谷歌在開源許可下提供RatProxy時，我們也為其鼓掌，但也會問它：“為什么你不尊重我們的隱私？”

二、匿名與審核無法共存

包括所謂安全專家在內(nèi)的許多人認(rèn)為，無法做到既對一項事務(wù)進(jìn)行審核同時允許參與方保持匿名。但是，這兩方面并非人們所想的那樣互相排斥。其中一個例子是，使用OTR加密庫可以同時保證安全審核和匿名，它可以讓兩個人進(jìn)行處于互相驗證狀態(tài)的聯(lián)系，同時無需向任何第三方提供任何身份相關(guān)信息。

另一個例子是麻省理工學(xué)院的選票記錄系統(tǒng)Scantegrity II，它通過使用投票序列號和選舉代碼來允許選民驗證他們的選票是否被正確計數(shù)，同時又讓他們實現(xiàn)了匿名投票。這種選票計數(shù)系統(tǒng)目前已經(jīng)被成功應(yīng)用在真實選舉活動中。

三、推動項目成功需要GPL

開源軟件社區(qū)的許多人堅稱，要想***化實現(xiàn)一個開源項目的成功，GPL（通用公共許可協(xié)議）是必需的。他們認(rèn)為，如果沒有非盈利版權(quán)許可來“迫使”人們開放自己的源代碼，許多重要的軟件改進(jìn)將無緣公眾，將被閉源企業(yè)反競爭行為世界所獨占。但實際情況是，非盈利版權(quán)許可同時也束縛了軟件的發(fā)展，讓某些企業(yè)遠(yuǎn)離了非盈利版權(quán)代碼，因為擔(dān)心它可能會影響公司自己的版權(quán)代碼。

證明這個觀點錯誤的例子包括網(wǎng)絡(luò)服務(wù)器Apache的成功，它是迄今為止最成功的開源項目；SQLite被部署的范圍可能比所有其它SQL數(shù)據(jù)庫引擎的總和還要大；OpenSSH不僅是當(dāng)今部署最廣泛的加密通道軟件，而且是當(dāng)今最安全的安全通道框架軟件。上述三個成功的軟件都在自由拷貝（copyfree）許可下發(fā)布。因此，當(dāng)你開發(fā)安全軟件時，這種自由拷貝許可或許是一種更佳選擇。

四、Ubuntu Linux是當(dāng)今最安全的操作系統(tǒng)

長期以來許多人一直堅稱Linux是最安全的操作系統(tǒng)，最近幾年這一說法已經(jīng)具體到Linux的具體版本Ubuntu，這種觀點在2009年似乎變得更加流行。但實際上Linux并非當(dāng)今最安全的操作系統(tǒng)。實際上，沒有哪一個操作系統(tǒng)是最安全的，因為一個指定操作系統(tǒng)的相對安全性取決于太多因素，其中包括它被如何使用和配置，它面臨的威脅種類等?！幷甙矗汉芫弥皣鴥?nèi)有篇很熱的黑客小說，作者為了避免Linux的一些問題使用了OpenBSD。

五、安全廠商是專家，我們應(yīng)該按他們說的做

人們經(jīng)常引用賽門鐵克等安全軟件廠商和思科等網(wǎng)絡(luò)硬件廠商發(fā)布的報告和白皮書，作為自己行為的安全準(zhǔn)則。但實際上，任何人都可能犯錯；廠商都有自己的利益追求，其觀點需要有保留的接受。

實際上，如果我們想盡***努力來加固自己負(fù)責(zé)系統(tǒng)的安全，就永遠(yuǎn)不能以一個安全專家的判斷來完全替代我們自己的判斷。只有我們最了解自己的特定環(huán)境和需求；反病毒廠商的CEO只能站在一個更籠統(tǒng)廣泛的立場上發(fā)表自己的觀點，而且他們往往只是學(xué)舌其它人的觀點。

六、加密是***的在線安全問題

加密是一個非常非常重要的在線安全問題，但是還有一個多數(shù)安全專家不會言及的“秘密”問題，它比存在缺陷或欺騙性的加密危害更嚴(yán)重，即加密連接另一端的人。如果連接另一端的人(或企業(yè))把數(shù)據(jù)銷售給合作廠商，或?qū)⑵浒l(fā)布在社交網(wǎng)站Facebook上，那再好的加密又有什么用？

采取加密是必需的，加密的重要性毋庸置疑，只是你不能總將其稱為最重要的事情。你還要警惕處于連接另一端的家伙。另外，如果你的計算機(jī)感染了rootkits和鍵盤記錄器軟件，你的加密軟件可能對你沒有多大幫助。這就是我為什么選擇FreeBSD作為我主要操作系統(tǒng)的原因，微軟Windows、蘋果Mac OS X和其它好多操作系統(tǒng)不值得用戶信賴。——王文文：很久之前國內(nèi)有篇很熱的黑客小說，作者在兩軍對壘時為了避免Linux的一些問題使用了OpenBSD。

七、漏洞報告越少意味著越安全

一個軟件被公布的安全漏洞少，并不能說明它比其它軟件安全。其中一個例子是火狐瀏覽器，盡管它報告了大量漏洞，但這并不能說明它具有最多漏洞。由于該軟件是開源的，所有漏洞都會被公開，相比之下，Adobe和微軟等專有軟件廠商一般只會對有外部研究人士發(fā)現(xiàn)的漏洞，而不公布內(nèi)部發(fā)現(xiàn)的漏洞。

八、發(fā)現(xiàn)漏洞而不公布是負(fù)責(zé)任的態(tài)度

無論我們怎么解釋“無知并不代表安全”，總有人在這方面有錯誤看法。其中發(fā)生在2009年一個最明顯的例子是，微軟一直試圖懲罰那些警告用戶微軟軟件存在長期漏洞的人，而且他們只是在微軟數(shù)月甚至數(shù)年無視漏洞存在之后，才向用戶告警。

微軟認(rèn)為，安全人士談?wù)撥浖┒?，如果惡意分子知道了相關(guān)信息，會置用戶于更大的風(fēng)險之中，因此我們應(yīng)該讓廠商秘密工作，直到它們已經(jīng)準(zhǔn)備好部署新安全補(bǔ)丁。當(dāng)然，它們認(rèn)為讓用戶等待數(shù)月甚至數(shù)年是可以接受的，認(rèn)為簡單的不解決安全問題才會真正保護(hù)用戶免遭風(fēng)險。

如果安全研究人士閉口不談自己發(fā)現(xiàn)的漏洞，廠商自然可以按照自己的意愿悠閑自得的去慢慢推出安全補(bǔ)丁；但是如果安全研究人士讓客戶知道了漏洞信息，廠商將面臨巨大壓力來解決這些問題。但是問題是，如果安全專家發(fā)現(xiàn)了漏洞所在，惡意分子同樣也可以自己發(fā)現(xiàn)它們。因此，無知并不代表安全。從一個漏洞被公布，到一個補(bǔ)丁推出，微軟最快的響應(yīng)時間都比Linux內(nèi)核升級所需的平均時間要長得多。

九、微軟是年度安全MVP

2009年，媒體對微軟大加贊譽(yù)，稱其“從一個安全方面的受嘲笑者變?yōu)橐粋€安全創(chuàng)新者。”誠然，微軟在2009年的確***了一些安全趨勢，其一是成為Conficker蠕蟲病毒的重要角色，另外它提出要懲罰安全研究人士“不負(fù)責(zé)任的”公布漏洞信息。

微軟公關(guān)人員可能花了不少心思來說服媒體，微軟已經(jīng)成為當(dāng)今最安全的軟件廠商。它本身可能也在改進(jìn)內(nèi)部安全開發(fā)策略。但是，它很明顯還有很長的路要走，才能成為真正的安全MVP。

十、圣誕老人可能鉆進(jìn)你的煙囪來給你送禮物

一個令人難過的事實是，你必須承認(rèn)，即使一個營養(yǎng)不良的8歲小孩也鉆不進(jìn)現(xiàn)在的家庭中的煙囪，更何況圣誕老人。

盡管如此，出于安全考慮，我也不能大開房門或窗戶，或者把鑰匙放在門前地墊下，來讓圣誕老人到我家中送禮物。如果這樣做，惡意分子恐怕也會趁機(jī)而來。

【.com譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為.com】

原文：Major security myths of 2009  作者：Chad Perrin

新聞標(biāo)題：2009年大家誤解的十大安全要旨
網(wǎng)址分享：http://www.dlmjj.cn/article/djegdjo.html