Jan Štráfelda - Průvodce online -projektem
Praha/Mělník  |  776 678 044  |  jan@strafelda.cz  |  Pošlete mi poptávku

Security through obscurity

Jako security through obscurity (v překladu bezpečnost skrze utajení) se v informatice označuje návrhový vzor, který se chybně snaží k dosažení bezpečnosti využít fakt, že útočník něco podstatného o programu neví. Například nezná zdrojové kódy webové aplikace.

Příklad

Předstate si, že programátor upraví aplikaci tak, že k přihlášení bude stačit, pokud administrátor dvakrát klikne myší na logo, pak najede myší na hlavní nadpis stránky a znovu klikne na logo. Počítá s tím, že tento postup nikdo kromě nás nezná a že je tedy bezpečný.

Ve skutečnosti takový návrh bezpečnost zásadně snižuje, protože se útočník ke zdrojovým kódům aplikace může časem dostat, třeba nějakým únikem dat. Nebo se například útočníkem může stát za pár let osoba, která na vývoji aplikace kdysi pracovala. Nebo to útočníkovi prozradí někdo, kdo ví.

Security by design

Opačným, správným návrhovým vzorem je security by design (bezpečnost díky návrhu). Ten zajišťuje, že i pokud dokonale známe, jak je program navržený, nemůžeme toho nijak využít k získání neoprávněného přístupu.

Ve výše uvedeném příkladu by tedy security by desing splňovala klasická autentizace pomocí loginu a hesla zadáveného do přihlašovacího formuláře. Poté, co původní programátor z firmy odejde, heslo mu změníte a žádný problém vám nevznikne.

Zaujal jsem vás? Přihlašte se do mailingu a mé další texty už vám neuniknou:

Zprávy posílám cca 8× ročně. Odhlásit se můžete kdykoliv. Více informací.