
不錯, 以現今的技術, 很少人會在防火牆打洞或破解SSL加密上面動腦筋. 所以我們安全了嗎?
OWASP 是個非營利的電腦應用軟體安全組織. 它每年發布的十大 (Top 10) 安全漏洞是產業界的重要指標. 看看2010年的排行, 勉強只有No.9 是SSL可以擋一擋. 傳統的 Network level 防火牆更是一個都沒撈到. 為什麼?
道理其實很簡單. 沒有一個黑客喜歡捨易求難, 或專找硬釘子碰. 大家都喜歡找環節中最弱的一點 (the weakest link). 應用軟體的漏洞可讓黑客堂而皇之的走大門, 又何必辛苦翻牆呢. 這就是為什麼安全是需要測試的, 不是自我感覺良好就行的.
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
圖取自此處
-- kryptoman
No comments:
Post a Comment