Hace poco pensé en todos los problemas resueltos en seguridad informática, como el XSS (que se puede mitigar con la validación de entradas), la inyección SQL (mitigada con sentencias preparadas), etc.
Ahora me pregunto, ¿cuáles son los mayores problemas de seguridad no resueltos del año 2010? Me pregunto si hay vulnerabilidades por ahí para las que aún no conocemos una buena forma de mitigarlas. Excepto cómo podemos conseguir que todo el mundo utilice las soluciones a los problemas resueltos.
Ingeniería social por mucho.
Los humanos seguirán siendo vulnerables a la ingeniería social por mucho tiempo y como dice el dicho, "La seguridad es tan buena como el eslabón más débil".
Muchas de las respuestas aquí dicen que el problema no resuelto es "el usuario" o alguna variante, que me veo forzado a concluir que el mayor problema no resuelto son los profesionales de la seguridad que creen que el usuario es el enemigo.
La causa subyacente es una política o procedimiento de seguridad que no tiene ningún beneficio visible, es decir, que le quita tiempo y esfuerzo al usuario sin que éste pueda ver lo que está haciendo por ellos. Para resolver este problema será necesario combinar la experiencia en materia de infosec con la ingeniería de usabilidad y las ciencias sociales para inventar nuevas experiencias de seguridad que sean habilitantes y permitan a los usuarios percibir su beneficio.
No se puede resolver el problema del usuario final. Bueno, al menos legal o éticamente. Mi voto va hacia el problema del descubrimiento del reino doméstico.
EDITAR: El problema del usuario final se refería a las respuestas publicadas anteriormente. El descubrimiento del ámbito doméstico forma parte de un modelo de autenticación basado en reclamaciones, en el que se puede seleccionar entre varios servicios/organizaciones para proporcionar una identidad a un usuario, de forma parecida a OpenID/OpenAuth. El problema surge cuando se necesita averiguar de qué proveedor obtener información, ya que aún no se sabe nada sobre el usuario. Es una cuestión de huevo/pollo: ¿cómo se puede saber quién debe autenticar al usuario cuando no se sabe a quién utiliza el usuario para proporcionar su identidad?
La primera respuesta obvia es utilizar un solo proveedor, pero eso anula la ventaja del modelo.
La segunda respuesta obvia es preguntar al usuario. Sin embargo, este es el punto débil de openID. La mayoría de la gente no tiene ni idea de quién es su proveedor. ¿Y qué ocurre cuando se puede autenticar contra Google y Facebook, pero no se sabe cuál está vinculado al perfil de la aplicación que llama?
Esto se conoce cariñosamente como el problema de NASCAR con OpenID -- la página de lanzamiento de OpenID suele tener un bajillón de logotipos de proveedores, por lo que tienes que seleccionar qué proveedor usar. Lo cual se rompe cuando tienes un proveedor personalizado.
¿Recuerdas CardSpace/InfoCard/Tarjetas de Información? Eso intenta resolver el problema. En realidad hace un buen trabajo en teoría. En la práctica no mucho.
Seguridad de los teléfonos inteligentes
Hay un gran número de teléfonos inteligentes que son objetivos de virus y fugas de información corporativa. Es difícil encontrar una manera uniforme de abordar estas vulnerabilidades de seguridad, y aún así proporcionar un entorno de usuario flexible.
Actualmente estoy buscando en Goodlink para proporcionar seguridad de correo electrónico a través de múltiples dispositivos. Por favor, comente si sabe algo más