Это понятно, но даже openSSL не застрахована от ошибок ( в реализациях они уже случались, вспомните случай когда добрые ребята из Debian удалили пару строк, не нравившихся Purify). Да и кто сможет гарантировать отсутствие фундаментальных жуков, способных предугадать «случайное» число?
Это опаснее слабых паролей. Ибо слабый пароль можно увидеть «на глазок», а как заметить, что твой рандомайзер схалтурил и сгенерировал тебе слабый ключ?
До сих пор с умилением вспоминаю как на экзамене по магистерскому курсу «философия науки» я рассказывал преподавателю про бездушную и бессовестную науку, которая всех нас убьет.
И еще забавный, факт: лучшим материалом для подготовки к тому экзамену были эссе Лема, учебники нервно курили.
Согласен. Кроме НДВ есть еще ТУ — не знал про них. Но смысл тезиса в том, что логичен был бы случай, когда сертификация гарантирует качество функциональной части, но по факту гарантируется непонятно что (с появлением скрытых от клиентов, толком не стандартизированных ТУ непонятность только возрастает)
Кстати, стоило бы представитья. Здесь вот «Андрей Фадин (самая креативная личность НПО „Эшелон“ в области приложений)»
А единственное ваше сообщение на хабре кроме этого.
Некоторые виды данных государство заставляет защищать законодательно (те же пресловутые персональные данные). Если вы попали под такой закон защищать нужно не абы как, а по сертифицированным методикам и сертифицированными методами.
Нет пользоваться можно любым. Но что бы соответствовать нормативной базе по защите нужно пользоваться сертифицированным. Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему. Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.
Мною быть хорошо, честно.
Я не занимаюсь разработкой и продажей средств безопасности — мой взгляд со стороны и, естественно, я могу ошибаться.
Мне ситуация видится так: все клиенты, покупающие безопасность делятся на две неравные категории. Одной нужна безопасность, и их беспокоит риск потерять данные, и средства безопасности они используют те, чей функционал их максимально устраивает. Это хорошая, хоть и маленькая часть клиентов.
Вторая — гораздо более многочисленная часть попала под действие какой-нибудь бумажки, повелевающей защищать информацию. Риск у них получить санкции от регулятора, а посему к безопасности они подходят весьма формально. Берут самое дешёвое из сертифицированного и плевать на функционал и уровень безопасности инструментом обеспечиваемый: ответственность если инцидент случился, но все ритуалы соблюдены может и не наступить, а вот за неправильные приседания кара будет незамедлительной. Вот и несут они деньги (чаще всего, конечно, бюджетные) всяким шарлатанам.
Такие вот результаты корявого государственного регулирования.
Что значит нормальным? Тем кому нужна безопасность, а не ритуальные приседания с сертификатами?
Но у нас в стране такой клиентской базы днем с огнем не сыщешь.
в galaxy s есть небольшая проблемка из-за того, что вместа объекта на экране нажимаются сенсорные кнопки (назад или меню), разделяющая экран и кнопки надпись выглядит убого, но на мой взгляд функционально оправдана.
Да они все суперкомпьютеры пытаются климат моделировать, но пока, хотя бы, нормальную теорию турбулентности не придумают, фик у них чего хорошего выйдет. Не все задачи можно задавить террафлопсами.
А чем там драйвер занимается? Аккорд не видел, но его ближайший конкурент (соболь) занимается тем, что перехватывает управления и пересчитывает контрольные суммы указанных файлов. (ну и спрашивает пароль\таблетку естественно)
А в win программка, в которой нужно указать файлы целостность которых нужно проверить. На что влияет выгрузка драйвера?
Страдает конфиденциальность (exit-node может перехватить трафик в нешифорваном виде). Анонимность на уровне: атаки есть, но они сложны на грани фантастики.
И еще забавный, факт: лучшим материалом для подготовки к тому экзамену были эссе Лема, учебники нервно курили.
Здесь вот «Андрей Фадин (самая креативная личность НПО „Эшелон“ в области приложений)»
А единственное ваше сообщение на хабре кроме этого.
Я не занимаюсь разработкой и продажей средств безопасности — мой взгляд со стороны и, естественно, я могу ошибаться.
Мне ситуация видится так: все клиенты, покупающие безопасность делятся на две неравные категории. Одной нужна безопасность, и их беспокоит риск потерять данные, и средства безопасности они используют те, чей функционал их максимально устраивает. Это хорошая, хоть и маленькая часть клиентов.
Вторая — гораздо более многочисленная часть попала под действие какой-нибудь бумажки, повелевающей защищать информацию. Риск у них получить санкции от регулятора, а посему к безопасности они подходят весьма формально. Берут самое дешёвое из сертифицированного и плевать на функционал и уровень безопасности инструментом обеспечиваемый: ответственность если инцидент случился, но все ритуалы соблюдены может и не наступить, а вот за неправильные приседания кара будет незамедлительной. Вот и несут они деньги (чаще всего, конечно, бюджетные) всяким шарлатанам.
Такие вот результаты корявого государственного регулирования.
Но у нас в стране такой клиентской базы днем с огнем не сыщешь.
А в win программка, в которой нужно указать файлы целостность которых нужно проверить. На что влияет выгрузка драйвера?