Pull to refresh
27
0
Иван Иваницкий @discovan

Информационная безопасность

Send message
Вы и правда зашли далеко, но мне понравилось)
Ну я же не пишу про 2FA. Я пишу про менеджер паролей, и с ним получается более безопасно и более удобно. Я же не утверждаю, что _всегда_ можно найти такое решение. Я утверждаю, что фундаментального противоречия между безопасностью и удобством нет, а значит, в ряде случаев их можно совместить, и отчаиваться не стоит.
И менее безопасен, чем просто не давать никому доступа к системе, не так ли?) И что?
Согласен на сто процентов! Поэтому и предлагаю отказаться от оправдания «ну, безопасность и удобство несовместимы, поэтому сделаем неудобно». Сделаем неудобно — не будут пользоваться; сделаем небезопасно — сломают. Надо искать тот путь, на котором удобство и безопасность сосуществуют. Зачастую это, как верно подметили выше, будет значить более дорогую разработку)
Я не понял вашей логики. Вы добавили к моему примеру своё требование 2FA и он перестал работать — ну ок, только это уже не мой пример. Менеджер паролей всё ещё и удобнее, и безопаснее, чем запоминание/записывание каждого пароля отдельно.
Талантливый человек всегда найдёт способ выстрелить себе в ногу. Наша задача — оставить ему для этого как можно меньше возможностей. И менеджер паролей всё-таки явно сокращает их количество по сравнению с просто кучей паролей. Один пароль уж явно можно запомнить и нет смысла писать на бумажке. Не говоря уже о том, что та самая бумажка — это и есть менеджер паролей, просто плохой.
Ну вот менеджер паролей, встроенный в браузер, который сам предлагает безопасный пароль и сам предлагает его сохранить — хороший пример решения, объединяющего безопасность и удобство. Конечно, у любого инструмента есть порог входа, время, которое нужно потратить на его освоение. Но вряд ли кто-то станет спорить, что удобнее запоминать N паролей, чем получать их автозаполнением от браузера; что удобнее рвать бумагу руками, чем не резать ножницами.

И да, конечно, в конкретной ситуации мы можем быть вынуждены делать выбор в пользу безопасности или удобства. Я лишь хотел показать, что это правило неуниверсально и часто есть третий путь. Поэтому чтоб его себе случайно не отсечь, нужно перестать думать в терминах «либо безопасность, либо удобство».
Всё так, чтоб сделать и безопасно, и удобно, нужны дополнительные ресурсы. И в случае, если их нет, то объединить удобство и безопасность не получится. Но вот если они есть, то в этом случае важно не упираться в стереотип «безопасность и удобство не совместыми», а обеспечить и то, и другое.
Спасибо!) Да, согласен, всё обсуждаемо. Статья как раз писалась для того, чтобы начать дискуссию.

1, 2. Цифровую подпись тоже подделать нельзя, т.е. просто хорошая распределённая база данных тоже будет работать, блокчейн излишний. Разве что мы хотим ещё и timestamping, но тут, опять же, можно просто хеши на блокчейн Биткойна класть. Что да, небесполезно. Опять же, вопрос, не усиливаем ли мы и так самое крепкое звено цепи?
3. Ну да, потому что зачем тут что-то другое? Биткойн самый надёжный. Ну можно на Эфире. Так или иначе, отдельный блокчейн не нужен.
4. Мне кажется, необходимость в оракуле — достаточно серьёзная проблема.
5. Согласен.
6. Нет, здесь проблема серьёзней, описана в тексте, повторяться не буду.
7. Так там обозначенная проблема совсем не в этом. Читайте дальше)
8. Звучит интересно. Спасибо, посмотрю!)

Я критиковал как раз то, что много раз слышал в качестве предложений. Не моя вина, что люди пытаются выдавать частичные решения за идеальные, а не показывают их пользу как частичных. Возможно, потому, что такой пользы и нет. Если есть, покажите)
Не очень понимаю, почему здесь не подойдёт просто хорошо настроенная база данных. Этот кейс на мой взгляд как раз проходит по пункту «блокчейн как повод»)
Спасибо большое за подробный комментарий! Отвечаю:

1. В целом согласен. Рассмотрел я этот пункт как раз потому, что юзкейс очень популярный.
2. Согласен! Как раз в этом контексте и говорю про децентрализованные институты. Но не исключаю использование токенов и без них. Так или иначе, какая-то надстройка требуется, в современном виде не работает.
3. Согласен. Спасибо!)

Спасибо за высокую оценку)
С собственным онлайн-редактором — интересная идея. Спасибо за информацию!
Тут есть важная проблема: для любого недостаточно крупного (в определённом смысле, но в рамках этого комментария оставлю без уточнения) альта стоимость атаки 51% будет достаточно низкой, чтобы она была выгодной. Что мы недавно и наблюдали на Ethereum Classic.

Я не «топлю» за единственную крипту, но я считаю, что количество крипт сильно схлопнется. Т.е. если есть Bitcoin, Ethereum и Monero (любую из них можно заменить более успешным конкурентом, так, что останется всё равно 3-5), зачем может понадобиться что-то ещё?
Большое спасибо за содержательный комментарий! Постараюсь ответить:

1. Узким местом этой системы устранения доверия как раз и будет момент занесения данных в блокчейн. То есть мы снова возвращаемся к проблеме с датчиком. Но возможно мне стоило это более явно описать в самой статье, спасибо!

2. Хотелось подробней понять, что за секрет добавляется к товару, ведь дьявол в деталях. Плюс, повторюсь, что в описанном эксплойте согласно блокчейну товар как раз принадлежит продавцу, тут всё верно. За ссылку спасибо, изучу!

3. Не очень понимаю, как блокчейн заменяет УЦ. Ведь речь о том, чтоб подтвердить соответствие публичного ключа личности профессора/ректора, а это IoT.
Насчёт производительности — хотелось бы увидеть цифры в подтверждение ваших слов. Плюс, всегда можно класть не хеш одного диплома, а дерево Меркля всего выпуска)

4. Правильно ли я понял, что в случае использования кольцевой криптографии даже сам подписант никак не может подтвердить, что поставил подпись за кандидата А? Ведь в статье речь именно об этом. Плюс, проблема сопоставления людей и подписей никуда не девается в любом случае, и именно она тут ключевая.

5. Так я согласен, что так может работать вполне, но описанные мной проблемы остаются. А насчёт «не хватит» снова хотелось бы цифр)

6. Я говорю о том, что пока регулятор существует, он всегда может прийти и силой забрать то, что согласно блокчейну принадлежит вам.

Большое спасибо за конструктивную и развёрнутую критику! Надеюсь, я все ваши аргументы понял правильно и ответил.

Да, блокчейн ещё очень молодая технология. Посмотрим, что из этого всего получится. И будем работать, честно называя булшит булшитом, чтоб ресурсы шли только на потенциально рабочие кейсы)
Ну вот да, то есть блокчейн как раз для денег используется. Глобально я за. Вопрос, нужно ли тут пилить свой блокчейн, или можно было использовать Bitcoin/Ethereum.
Спасибо! На самом деле, я с вами согласен, может быть полезной и не 100%-гарантия. Меня смущает скорее то, что продают как правило именно историю про 100%-гарантию, обходя обсуждение проблемы.
1) Действительно, дискуссионный вопрос. Не готов вступать в полемику в большей мере, чем уже сделал, но обе точки зрения имеют свои основания.
2) Согласен, может быть и так.
3) Согласен полностью и очень на такой сценарий рассчитываю)
Так я же именно об этом и говорю, что никак)

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Works in
Date of birth
Registered
Activity