Erst kürzlich habe ich über all die gelösten Probleme in der IT-Sicherheit nachgedacht, wie XSS (das man mit Eingabevalidierung entschärfen kann), SQL Injection (entschärft mit vorbereiteten Anweisungen), usw.
Jetzt frage ich mich, was sind die größten ungelösten Sicherheitsprobleme des Jahres 2010? Ich frage mich, ob es Schwachstellen gibt, für die wir noch keinen guten Weg kennen, um sie zu entschärfen. Außer, wie wir alle dazu bringen können, die Lösungen für die gelösten Probleme zu nutzen.
Social Engineering bei weitem.
Die Menschen werden noch für lange Zeit anfällig für Social Engineering bleiben, und wie das Sprichwort sagt: "Sicherheit ist nur so gut wie das schwächste Glied".
So viele der Antworten hier sagen, dass das ungelöste Problem "der Benutzer" oder irgendeine Variante ist, dass ich zu der Schlussfolgerung gezwungen bin, dass das größte ungelöste Problem Sicherheitspraktiker sind, die glauben, dass der Benutzer der Feind ist.
Die zugrundeliegende Ursache ist eine Sicherheitspolitik oder ein Verfahren, das keinen sichtbaren Nutzen hat, d.h. es nimmt den Anwender Zeit und Mühe in Anspruch, ohne dass die Anwender sehen können, was es für sie tut. Die Lösung dieses Problems erfordert die Kombination von infosec-Expertise mit Usability Engineering und Sozialwissenschaft, um neue Sicherheitserfahrungen zu erfinden, die ermöglichen und den Benutzern erlauben, ihren Nutzen wahrzunehmen.
Sie können das Problem der Endnutzer nicht wirklich lösen. Jedenfalls nicht rechtlich oder ethisch. Ich stimme für das Problem der Entdeckung des Heimatbereichs.
EDIT: Das Endbenutzerproblem bezog sich auf die zuvor geposteten Antworten. Die Home Realm Discovery ist Teil eines auf Ansprüchen basierenden Authentifizierungsmodells, bei dem man zwischen mehreren Diensten/Organisationen wählen kann, um eine Identität für einen Benutzer bereitzustellen, ähnlich wie OpenID/OpenAuth. Das Problem entsteht, wenn man herausfinden muss, von welchem Anbieter man Informationen erhalten soll, da man noch nichts über den Benutzer weiß. Es ist eine Henne/Ei-Sache: Wie findet man heraus, wer den Benutzer authentifizieren soll, wenn man nicht weiß, wer die Identität des Benutzers bereitstellt.
Die erste offensichtliche Antwort ist, nur einen Anbieter zu verwenden, aber das macht den Vorteil des Modells zunichte.
Die zweite naheliegende Antwort ist, den Benutzer zu fragen. Dies ist jedoch der Nachteil von openID. Die meisten Menschen haben keine Ahnung, wer ihr Provider ist. Und was passiert, wenn man sich bei Google und Facebook authentifizieren kann, aber nicht weiß, welcher davon mit dem Profil der aufrufenden Anwendung verknüpft ist?
Dies wird liebevoll als das NASCAR-Problem mit OpenID bezeichnet - die Startseite für OpenID hat in der Regel eine Billion Logos für Anbieter, so dass Sie auswählen müssen, welchen Anbieter Sie verwenden möchten. Das funktioniert nicht, wenn Sie einen benutzerdefinierten Anbieter haben.
Erinnern Sie sich an CardSpace/InfoCard/Information Cards? Damit wird versucht, das Problem zu lösen. Theoretisch funktioniert das sogar ziemlich gut. Praktisch nicht so sehr.
Sicherheit von Smartphones
Es gibt eine große Anzahl von Smartphones, die Ziel von Viren und undichten Unternehmensinformationen sind. Es ist schwierig, einen einheitlichen Weg zu finden, diese Sicherheitslücken zu beheben und dennoch eine flexible Benutzerumgebung bereitzustellen.
Derzeit schaue ich mir Goodlink an, um E-Mail-Sicherheit auf mehreren Geräten zu bieten. Bitte kommentieren Sie, wenn Ihnen noch etwas bekannt ist