Recentemente pensei em todos os problemas resolvidos na segurança informática, como XSS (que se pode mitigar com validação de entrada), SQL Injection (mitigado com declarações preparadas), etc.
Agora I'estou a pensar, quais são os maiores problemas de segurança não resolvidos do ano 2010? I'estou a perguntar-me aqui se existem vulnerabilidades por aí para as quais não'ainda não sabemos uma boa maneira de as mitigar. Excepto como podemos conseguir que todos utilizem as soluções para os problemas resolvidos.
**Social Engineering*** de longe.
Os humanos continuarão vulneráveis à engenharia social durante muito tempo e, como diz o ditado, "A segurança é apenas tão boa como o elo mais fraco".
Muitas das respostas aqui dizem que o problema não resolvido é "o utilizador" ou alguma variante, que sou forçado a concluir que o maior problema não resolvido é **security practitioners who believe that the user is the enemy***.
A causa subjacente é a política ou procedimento de segurança que não tem qualquer benefício visível, ou seja, que consome tempo e esforço do utilizador sem que os utilizadores possam ver o que está a fazer para eles. A resolução deste problema exigirá a combinação de conhecimentos infosec com engenharia de usabilidade e ciências sociais para inventar novas experiências de segurança que são enable, e permitir que os utilizadores percebam o seu benefício.
Pode'não pode realmente resolver o problema do utilizador final. Bem, legal ou eticamente, de qualquer forma. O meu voto vai para o problema da Descoberta do Domínio Doméstico.
EDITAR: O problema do utilizador final foi em referência a respostas previamente publicadas. Home Realm discovery é parte de um modelo de autenticação baseado em reivindicações, onde se pode seleccionar entre vários serviços/organizações para fornecer uma identidade para um utilizador, muito semelhante ao OpenID/OpenAuth. O problema surge quando é preciso descobrir de que fornecedor obter informações, uma vez que não'ainda não sabe nada sobre o utilizador. It'é uma coisa de galinha/ovo: como é que se descobre quem deve autenticar o utilizador quando se não sabe'não se sabe quem o utilizador utiliza para fornecer a sua identidade.
A primeira resposta óbvia é usar apenas um fornecedor, mas isso nega o benefício do modelo.
A segunda resposta óbvia é perguntar ao utilizador. No entanto, esta é a queda do openID's. A maioria das pessoas não tem ideia de quem é o seu fornecedor. E o que acontece quando se pode autenticar contra o Google e o Facebook, mas não se sabe qual deles está ligado ao perfil da aplicação de chamada?
Isto é carinhosamente referido como o problema NASCAR com OpenID -- a página de lançamento do OpenID tem normalmente um bajilião de logótipos para fornecedores, por isso é necessário seleccionar qual o fornecedor a utilizar. Que quebra quando se tem um fornecedor personalizado.
Lembra-se de CardSpace/InfoCard/Cartões de Informação? Isso tenta resolver o problema. Realmente faz um trabalho muito bom teoricamente. Praticamente nada de especial.
Segurança de Smartphones
Há um grande número de smartphones que são alvos de vírus e de fugas de informação empresarial. É difícil encontrar uma forma uniforme de lidar com estas vulnerabilidades de segurança, e ainda proporcionar um ambiente de utilizador flexível.
Actualmente, estou a procurar a Goodlink para fornecer segurança de correio electrónico em múltiplos dispositivos. Por favor, comente se souber de mais alguma coisa