▲GN⁺ 2024-07-16 | parent | ★ favorite | on: 컴퓨터 보안의 여섯 가지 어리석은 아이디어 (2005)(ranum.com)Hacker News 의견 'Default Deny'는 'Default Permit'보다 어렵지 않지만, IT 보안 담당자에게는 더 나은 수면을 제공함 그러나 회사의 다른 사람들은 IT 부서와의 여러 번의 추가 작업 없이 아무것도 작동하지 않아 매우 짜증스러워함 사람들이 짜증날수록 IT 보안 개념을 약화시키는 우회 방법을 사용할 가능성이 높음 좋은 IT 보안은 사용자에게 보이지 않고 방해가 되지 않는 마법과 같아야 함 90년대 후반과 2000년대 초반에 Marcus Ranum과 Bruce Schneier는 취약점 공개가 해롭다고 주장했음 그러나 이 관점은 입증되지 않았음 오늘날 대부분의 보안 학술 대회는 공격 연구를 포함하고 있음 비밀번호에 대한 언급이 없어서 놀라움 비밀번호 구성 규칙과 비밀번호 회전은 본질적으로 어리석다고 생각함 사용자가 비밀번호를 기억하기 쉽게 선택할 수 있도록 해야 함 보안 테스트가 필요 없다고 주장하는 것은 최악의 보안 관점임 해킹은 기술 문제가 아니라 사회적 문제라고 주장하는 것도 잘못된 관점임 보안 지향적인 접근 방식이 사용자에게 불편을 초래함 보안과 편리함 사이의 균형을 맞추는 것이 중요함 취약점과 익스플로잇을 연구하는 것이 보안 학습에 유익함 해킹은 멋진 일이지만, 다른 사람의 데이터와 시스템에 접근하는 것은 그렇지 않음 자신의 시스템을 철저히 이해하고 조작하는 것은 유익함 익스플로잇을 배우는 것은 이론과 실무를 함께 학습하는 데 유용함 사용성과 보안 사이의 불행한 절충이 문제임 'Default Permit'과 같은 접근 방식이 보안에 해로움 비밀번호는 사용자가 기억하기 어렵고 불편함 클라이언트를 신뢰하는 것은 보안 모델이 깨진 것임 'Penetrate and Patch' 접근 방식은 보안 작업을 무의미하게 만듦 시스템을 안전하게 설계하는 것보다 취약점을 찾고 수정하는 것이 더 중요함 불법적인 접근과 보안 컨설팅을 구분하는 것이 좋음
Hacker News 의견
'Default Deny'는 'Default Permit'보다 어렵지 않지만, IT 보안 담당자에게는 더 나은 수면을 제공함
90년대 후반과 2000년대 초반에 Marcus Ranum과 Bruce Schneier는 취약점 공개가 해롭다고 주장했음
비밀번호에 대한 언급이 없어서 놀라움
보안 테스트가 필요 없다고 주장하는 것은 최악의 보안 관점임
보안 지향적인 접근 방식이 사용자에게 불편을 초래함
해킹은 멋진 일이지만, 다른 사람의 데이터와 시스템에 접근하는 것은 그렇지 않음
익스플로잇을 배우는 것은 이론과 실무를 함께 학습하는 데 유용함
사용성과 보안 사이의 불행한 절충이 문제임
클라이언트를 신뢰하는 것은 보안 모델이 깨진 것임
'Penetrate and Patch' 접근 방식은 보안 작업을 무의미하게 만듦