Menü
Avatar von captmcneil
  • captmcneil

443 Beiträge seit 01.04.2010

Re: gefährliche Top "Lovel" Domains

dl3led schrieb am 15.01.2019 09:30:

Weshalb muss heutzutage "jeder" auf Security-by-Obscurity setzen?

Vielleicht, weil es in der Praxis doch noch etwas zusätzlichen Schutz bietet - falls mal die Theorie versagt ...

Viele lassen ja auch Licht zu Hause an, wenn sie weg sind, obwohl sie alles schön abgeschlossen haben - und das scheint wohl auch was zu bringen.

"Viele"? Naja...

Die Frage ist, doch immer, ob man einen gezielten Angriff abwehren möchte (das ist imho durch generische Maßnahmen quasi unmöglich), oder ob man einfach nur dem ganzen Random-Zeug aus dem Weg gehen will.

Grundsätzlich bin ich aber auch der Meinung, dass ab einem gewissen Punkt "Speed Bumps" für alle Beteiligten sehr nervig werden, und eine nicht wirksame Maßnahme allein Durch ihre Implementierung die Qualität verringern, und neue Probleme verursachen kann. Getreu dem Motto, nur was nicht da ist, kann auch keine Fehler enthalten.

Ich habe in Meiner Zeit als Entwickler schon so einige an den Haaren herbeigezogene Findings von Pentests umsetzen müssen, die ich für übertrieben halte. Beispielsweise, Benutzernamen nicht in HTML-Responses auszugeben, oder die maximale Sitzungsdauer so zu verkürzen, dass es den Anwender an seiner Arbeit hindert.

https://www.reddit.com/r/de_IAmA/comments/4wqvj1/ama_ich_arbeite_freiberuflich_als_penetration/

(...) Selbst bei solchen Reports habe ich aber immer irgendwie ein schlechtes Gewissen. Kommt aber wirklich sehr selten vor, dass man einen Report dann mit 5-6 Low Findings aufblasen muss, damit er nicht so leer aussieht.

Wie man hier auch lesen kann, ist es leider auch so, dass sich Leute in diesem Business davor scheuen, einem System gute Sicherheit zu bescheinigen. Dann kommen halt solche Sachen dabei raus.

Das Posting wurde vom Benutzer editiert (19.01.2019 19:26).

Bewerten
- +
Anzeige