国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　當(dāng)你聽到“”這個(gè)詞的時(shí)間想到了什么?對(duì)于強(qiáng)密碼、緩沖溢出和加密之類的措施，你是怎么認(rèn)為的?當(dāng)然，對(duì)于安全來說，它們都是重要的組成部分。但是，這些因素僅僅是整體中的一部分。

　　安全并沒有表面看上去那么簡(jiǎn)單。安全不是一種你可以購(gòu)買的現(xiàn)成產(chǎn)品，或者僅僅靠檢查清單中的所有設(shè)備就可以完成的任務(wù)。安全需要持續(xù)不斷的努力才能防止來自惡意的攻擊，保護(hù)自身和設(shè)備的安全防范黑客帶來的問題并不是有規(guī)律的，很可能純屬偶然。

　　在安全問題上，也不要使用那些愚蠢的技巧，它們可能會(huì)導(dǎo)致隱私的意外泄露。以政府機(jī)構(gòu)為例，它們經(jīng)常意外地在上公布秘密政策或在和大家共享文件前利用一個(gè)單獨(dú)的文檔層來“隱藏”信息。千萬不要忘記安全的第一禁止項(xiàng)目：將密碼寫在便條上，并貼在顯示器的表面(甚至在鍵盤的下面)。當(dāng)然，它是不會(huì)給利用網(wǎng)絡(luò)進(jìn)行破解的人帶來幫助，但卻會(huì)給來自下一個(gè)房間的人提供入口。

　　所有這一切加在一起讓人們擁有了一條重要的認(rèn)識(shí)：如果要從全方位的角度了解可以對(duì)安全造成威脅的潛在因素的話，你需要打破常規(guī)，進(jìn)行“創(chuàng)造性思考”。技術(shù)熟練的安全黑客，可以發(fā)現(xiàn)漏洞并針對(duì)這些漏洞開發(fā)出新的應(yīng)用，通過外部處理的方法進(jìn)行攻擊。正如亞歷山大大帝解決戈?duì)柕蠟跄方Y(jié)時(shí)所做的，安全黑客可以通過拒絕遵循和其它人一樣規(guī)則的方式來進(jìn)行攻擊。為了維護(hù)安全，我們制定了規(guī)則，但由于在無意中造成了一個(gè)常見的漏洞，這樣做的結(jié)果卻往往會(huì)導(dǎo)致失敗;由于我們拒絕從外部的角度來進(jìn)行處理，結(jié)果就是邊界和廣大的外部世界都被忽視了。

　　這么說并不意味著在內(nèi)部進(jìn)行處理就一定是錯(cuò)的。它的意思是如果我們不承認(rèn)在系統(tǒng)外部還有可以造成影響的環(huán)境的話，就不能消除惡意安全黑客帶來的影響，系統(tǒng)外部的問題也需要進(jìn)行處理。

　　一個(gè)簡(jiǎn)單的例子就是人們往往過于關(guān)注內(nèi)部處理，而無視對(duì)于安全問題來說是需要分門別類解決的情況。你認(rèn)為什么樣的漏洞是安全漏洞?什么樣的漏洞不是安全漏洞?顯然，緩沖區(qū)溢出導(dǎo)致出現(xiàn)允許任意數(shù)據(jù)寫入可執(zhí)行內(nèi)存的問題是一個(gè)安全漏洞——但對(duì)于穩(wěn)定問題來說呢，它是不是?

　　你認(rèn)為在Windows系統(tǒng)中一次又一次的運(yùn)行應(yīng)用程序時(shí)，內(nèi)存泄漏導(dǎo)致所有內(nèi)存都被消耗完的情況，是否屬于安全問題?它只是在程序運(yùn)行中留下自己的痕跡，可以一直持續(xù)到系統(tǒng)運(yùn)行速度進(jìn)一步下降，最終不得不重新啟動(dòng)為止。但從另一方面來看，一旦內(nèi)存耗盡，數(shù)據(jù)將開始寫入頁(yè)面文件。如果應(yīng)用程序正在處理一些敏感的私人數(shù)據(jù)的話，它可以會(huì)被寫入到硬盤上的頁(yè)面文件并且被遺忘在那里。在計(jì)算機(jī)重新啟動(dòng)多次后，它也有可能還在硬盤驅(qū)動(dòng)器上的某處。

　　什么樣的嚴(yán)重漏洞會(huì)導(dǎo)致應(yīng)用無法運(yùn)行?當(dāng)然，這可能僅僅會(huì)讓人感到懊惱，真是這樣么?由于在應(yīng)用崩潰前沒有機(jī)會(huì)保存數(shù)據(jù)，你損失了半個(gè)小時(shí)的工作成果。另一方面，有些時(shí)間惡意安全黑客想做的并不是其它事情，僅僅就是破壞你的軟件，讓其崩潰。所謂的拒絕服務(wù)(DoS)攻擊就是這種類型的安全問題。

　　但是，事情也有可能變得更壞。在這里再次提到，當(dāng)應(yīng)用程序處理敏感數(shù)據(jù)時(shí)，存在的漏洞可能比你想到的更多。如果應(yīng)用程序?qū)⒁粋€(gè)核心轉(zhuǎn)儲(chǔ)文件保存在本地硬盤驅(qū)動(dòng)器上導(dǎo)致惡意安全黑客更容易訪問，或者數(shù)據(jù)僅僅保存在易失性器中時(shí)，應(yīng)該怎么辦?現(xiàn)在你要擔(dān)心的不僅僅是喪失工作成果了，因?yàn)橛腥艘呀?jīng)決定利用應(yīng)用程序中存在的漏洞進(jìn)行攻擊了，在攻擊之后甚至可能還會(huì)有人訪問你的工作成果。

　　當(dāng)你在使用應(yīng)用程序處理敏感數(shù)據(jù)時(shí)，整個(gè)卻崩潰了，這時(shí)間應(yīng)該怎么處理?人們認(rèn)為在計(jì)算機(jī)關(guān)閉的時(shí)間隨機(jī)存取存儲(chǔ)器(RAM)會(huì)清除所有的數(shù)據(jù)，但實(shí)際情況是，RAM對(duì)數(shù)據(jù)進(jìn)行清理需要一些時(shí)間，只有這樣才能實(shí)現(xiàn)完全清除。如果應(yīng)用程序在操作系統(tǒng)崩潰的時(shí)間沒有機(jī)會(huì)要求內(nèi)存清理數(shù)據(jù)的話，在事后的幾分鐘里內(nèi)存中還可能保存有正在進(jìn)行處理的敏感數(shù)據(jù)。這時(shí)間，如果你上洗手間的話，其它人就可能利用工具來讀取RAM中的內(nèi)容。應(yīng)用程序本身可能沒有可利用的漏洞，但這肯定是一個(gè)可以利用的本地漏洞。

　　現(xiàn)實(shí)世界中，在通常情況下系統(tǒng)漏洞看起來和安全沒有什么聯(lián)系，但卻往往可以在安全方面造成令人震驚的后果。關(guān)于此類事件就有兩個(gè)典型的例子，一個(gè)就是空中交通管制系統(tǒng)的崩潰，另一個(gè)是餐館被燒毀：

　　Ø 在2004年，位于加利福尼亞州的一臺(tái)微軟Windows新出現(xiàn)錯(cuò)誤，導(dǎo)致整個(gè)空中交通管制系統(tǒng)崩潰，近800架飛機(jī)延誤航班。實(shí)際上，這僅僅是一個(gè)穩(wěn)定的問題，因?yàn)樵撓到y(tǒng)設(shè)定為沒有在“安全”時(shí)間之前正常重新啟動(dòng)的話，50天后系統(tǒng)將關(guān)閉。如果不是運(yùn)氣好的話，這很有可能造成有史以來最嚴(yán)重的商業(yè)航空災(zāi)害。

　　Ø 2009年10月，加利福尼亞州圣羅莎一家咖啡館發(fā)生的火災(zāi)看起來就象是微軟的Windows更新導(dǎo)致的。事故中沒有出現(xiàn)人員傷亡，但整座建筑被徹底燒毀了。同樣，從傳統(tǒng)角度來看，它不是安全方面的問題，緩沖區(qū)溢出或不必要網(wǎng)絡(luò)端口的開放才是一個(gè)安全問題，但生命確實(shí)因?yàn)橐馔庑袨槭艿搅送{。

　　當(dāng)人們注意到這兩個(gè)例子中存在的各種問題時(shí)，故意引起火災(zāi)或危害滿載乘客的客機(jī)是否應(yīng)該被當(dāng)作安全問題呢?在這種情況下，它從開始就應(yīng)該是一個(gè)安全問題，因?yàn)閺姆婪豆舯ＷC安全的角度來看，最好的處理辦法就是避免它。等到有人發(fā)現(xiàn)沒有立即與安全產(chǎn)生關(guān)聯(lián)的安全事件已經(jīng)成為威脅生命的問題后才進(jìn)行處理，對(duì)于系統(tǒng)保護(hù)來說，是一種非常短視的方式。

　　我們建立邊界以便進(jìn)行內(nèi)部處理，因?yàn)檫@樣才能從總體的角度討論問題。但這并不意味著我們應(yīng)該假裝這些邊界是不可逾越的。僅僅按照預(yù)定方式使用現(xiàn)有的工具，是非常簡(jiǎn)單的事情，但這也有可能讓我們對(duì)來自外部的威脅視而不見。當(dāng)我們努力保護(hù)自己的努力成果不被其它人破壞時(shí)，千萬不要忽視這種危險(xiǎn)的可能性。

　　你不必一定要從外部處理問題，但至少應(yīng)該承認(rèn)它們的存在;那些愿意打破規(guī)則的人，在摧毀我們所有努力的時(shí)間，是不會(huì)被這些邊界所牽制的。