在Slashdot上面看到这个链接,很有意思:
http://www.ranum.com/security/computer_security/editorials/dumb/
简单用中文转述一下,感兴趣的请看原文。
作者认为在计算机安全领域有很多我们常识性的错误的理解和观点,最严重的6条分别是:
1- 默认允许 - 很多东西在我们的系统中都是默认允许的,如程序、端口等,有必要吗?
2- 枚举不好的东西 - 如果我们只需要关心那些东西是我们真正需要的,岂不是比列出那些我们不需要的来得更方便?(我们真的需要和黑客们搞“军备竞赛”?)
3- 渗透然后打补丁- 很多软件厂商都是找人来测试系统安全漏洞,然后争取在黑客利用它们之前发布给客户让客户去打补丁,这样真的是一个好办法吗?(作者举的例子是IE)
4- 黑客很酷 - 很多媒体都有意无意在美化一些不好的事物和行为,比如黑客。
5- 培训/教育用户 - 为什么我们要教育用户不要这样不要那样,有这个必要吗?很多简单的道理和使用习惯往往是你无法预知和阻止用户去做的,除非你从源头上杜绝用户作出这种选择的可能。
6- 为好过无为 - 这就跟中国的道家思想有关了,在我们准备要开始安装和使用一个新的软件或工具时,我们最好停下来先想一想,观察观察。
作者还总结了一些相对不那么严重的错误观点,如:
- 我们不会是攻击对象
- 如果大家都随时打补丁所有人就安全了
- 我们不需要防火墙因为我们有很好的主机安全机制
- 我们不需要主机安全机制因为我们有很好的防火墙
- 我们先用起来,稍后再处理安全性问题
- 我们无法阻止偶然发生的问题
最后这一点很逗,作者举的例子是如果你认为航空业用这种方式来对待你的生命时,你还会乘坐商业航空公司的飞机吗?