18 Мая, 2013

Тяжёлая ноша

InfoWatch
В криптоанализе есть такое понятие "нагрузка на ключ". Чем больше данных зашифровано одним и тем же ключом, тем больше вероятность, что противник его раскроет, если будет хорошо стараться. Изредка бывают атаки с гарантированным исходом: например, ключ восстанавливается при наличии N пар "открытый текст + шифротекст". Но чаще нет никакой гарантии. Или даже нет определённого алгоритма для атаки. Есть лишь общая закономерность: чем больше шифруется на одном ключе, тем проще противнику его вскрыть. И некоторые прикидки по порядку величины, позволяющие оценить допустимую нагрузку на ключ.

По аналогии с этим понятием можно говорить о нагрузке на компьютерную программу. Чем чаще и разнообразнее используется программа, тем больше вероятность, что противник найдёт (внедрит) и проэксплуатирует в ней уязвимость .

Браузер – самая часто используемая программа в последние годы. Причём, наблюдается тенденция возрастания нагрузки нанеё. (За исключением мобильных устройств, где спецклиенты почему-то растут  быстрее.) Класть все функции в одну корзину не рекомендуется.

Поэтому браузерный доступ всегда вызывает лишние подозрения у службы ИБ. Юзер через браузер деньгами управляет, и этим же самым немытым браузером он лазил в игрушку, в порнушку, в гуглыи тёмные углы.

Вот, например, для доступа в наложенную сеть TOR (псевдодомен .onion) не положено использовать штатный браузер. Для этого поставляется специальный, так называемый TBB. А обычный браузер – он слишком много знал. У него была нехорошая привычка записывать за пользователем на локальный диск много всяких лишних сведений. Для целей анонимизации это неприемлемо. А для целей удалённого управления вашими активами – неприемлемо кое-что другое в штатных браузерах.

или введите имя

CAPTCHA
Бородатый Бородач
20 Мая, 2013
Вопрос спорный, а с чем сравнивать безопасность браузера? С одной стороны да, нож 100-в-1, как правило, не выполняет хорошо ни одну из функций, по сравнению с узкоспециализированным инструментом. С другой стороны, в электронном мире почему-то иная механика, и узкоспециализированный банк-клиент по-факту содержит больше опасных глюков, нежели комбайн-браузер.
0 |
guest
20 Мая, 2013
Proof или не было!
0 |
Бородатый Бородач
21 Мая, 2013
Имя им легион, большинство из них связано с откровенным раздолбайством пользователей, однако и глюков в сервисном софте предостаточно. http://www.banki.ru/services/responses/bank/?responseID=1783923
0 |