Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4
RSS
[ Закрыто ] Аналитические методы анализа защищённости информационных систем
 
Цитата
^rage^ пишет:

категорически не согласен! ;)
Это смотря с какой стороны рассматривать эту информацию :)). Человек, обнаруживший уязвимость, врядли станет классифицировать её как-либо, пока не убедится в её действительности, а ,так уж устроена человеческая психика, убедиться он может только по факту своего эксперимента (читай - взлома).
 
Цитата
Michael_X пишет:
Это смотря с какой стороны рассматривать эту информацию :)). Человек, обнаруживший уязвимость, врядли станет классифицировать её как-либо, пока не убедится в её действительности, а ,так уж устроена человеческая психика, убедиться он может только по факту своего эксперимента (читай - взлома).

А с какой не рассматривай. Дыра - это просто дыра. И человек, ее нашедший, мог проверить ее наличие на своем компе. И это, как ты правильно, заметил не взлом, а эксперимент. И для обсуждаемой статьи не имеет никакого значения.
Luka
 
Цитата
Dragon_X пишет:

В формуле учитываются именно РЕАЛЬНЫЕ УЯЗВИМОСТИ. См. в статье.

РЕАЛЬНАЯ - эта та, которая существует. А вот юзали ее или нет - это совсем другая информация, в формуле неучитываемая. А именно она имеет значение.

Цитата
Dragon_X пишет:

Ага. А дыра - это информация об успешных взломах =))) Т.е. уже сама констатация факта =)))

Мда... А сообщение об урагане - это уже ураган.
Luka
 
2Luka

Уже говорилось же раньше и неоднократно, что формулу можно дополнить... а в статье представлена лишь общая методика одного из типов анализа... которая не претендует на всеобщность и полноту охвата....
 
Цитата
Luka пишет:
 
А с какой не рассматривай. Дыра - это просто дыра. И человек, ее нашедший, мог проверить ее наличие на своем компе. И это, как ты правильно, заметил не взлом, а эксперимент. И для обсуждаемой статьи не имеет никакого значения.
Ха..ха..ха... браво! Если есть критическая уязвимость и твоя система не имеет дополнительных средств защиты, то что мешает этому человеку "провести эксперимент" на твоём компе, а там уж как повезёт? ;)) Дыра - это не просто "дыра", а потенциальная возможность быть похаканым за время вращения информации об этом баге и эксплойта в private (именно это и учитывается в статье).

ЗЫ
Просьба повнимательнее читать как саму статью, так и уже сказанное на форуме.
 
Цитата
Luka пишет:

Мда... А сообщение об урагане - это уже ураган.
А 100% верное сообщение об урагане - это, как минимум для умных людей, необходимость задуматься над тем как бы чего не вышло :), как максимум - принять конкретные меры, чтоб это не повлекло тяжёлых последствий...

ЗЫ
Полагаю параллели каждый сможет провести сам :).
 
Michael_X
В статье хорошая идея!
для всех обсуждающих
Конечно можно обхаивать статью по поводу, что описаный метод плохо оценивает защищённость ПО и перечислить в каких случаях этот метод плох,но всеже это метод несет в себе математику то есть им можно что-то измерить!, как и любой измерительный прибор у него есть условия при которых им пользоваться не рекомендуется, так как оценка будет неточной, неполной и т.д.
Ведь ни кто не мерит миливольтное напряжение, напряЖометром :) заточеным для замеров МегаВольт.
Этот метод как и любой измерительный прибор нельзя бездумно применять, вот тут то и нужен инженер/специалист. :)
 
2Stas_Dragon
Методология оценки адекватности применимости этой теории в каждом конкретном случае сейчас разрабатывается. В результате, я полягаю, появится мат. аппарат, позволяющий оценить границы применимости этого метода.
 
привет
 
[moderator hat]
Тема закрыта от спам-робота
[/moderator hat]
Страницы: Пред. 1 2 3 4
Читают тему