为什么通过默默无闻的安全是一个坏主意?我最近遇到了一个系统,其中所有的数据库连接都是由各种方式模糊的例程管理的,包括base 64编码,md5sums和各种其他技术。这只是我,还是这种矫枉过正?有哪些替代方案?
3 回答
拉丁的传说
TA贡献1789条经验 获得超8个赞
通过默默无闻的安全措施将把你的钱埋在一棵树下。使它安全的唯一因素是没有人知道它在那里。真正的安全性是把它放在锁或组合之后,比如在保险箱里。你可以将保险箱放在街角,因为保证它的安全性是除了你之外没有人可以进入它。
正如@ ThomasPadron-McCarty在下面的评论中提到的那样:
如果有人发现了密码,您只需更改密码即可。如果有人找到了这个位置,你需要挖掘钱并将其移到其他地方,这是更多的工作。如果您在程序中使用默默无闻的安全性,则必须重写该程序。
30秒到达战场
TA贡献1828条经验 获得超6个赞
通过默默无闻的安全可以说是不好的,因为它通常意味着默默无闻被用作主要的安全手段。在被发现之前,Obscurity是可以的,但是一旦有人找到你特别的默默无闻,那么你的系统再次受到攻击。鉴于攻击者持续存在,这相当于没有任何安全措施。
绝不应将晦涩作为适当安全技术的替代方案。
隐藏作为隐藏源代码以防止复制的手段是另一个主题。我对这个话题很偏袒; 我可以理解为什么你可能希望这样做,我个人从来没有遇到过需要它的情况。
添加回答
举报
0/150
提交
取消