Re: Peri asfaleias [was: Re: SOLVED: grep -i και ελληνικά κεφαλαία /πεζά]

Sat Dec 17 03:29:15 EET 2005

Giannis Papadopoulos wrote:

> ...
>
>
>Και γιατί, θα ρωτήσει ένας φιλομαθής νέος, δεν υλοποιήσατε ένα
>συστηματάκι με κάποιου είδους security μέσω smart cards που θα κάνει
>authentication για τους χρήστες ή οτιδήποτε άλλο;
>
>Και μιλάω να έχετε κάνει τις απαραίτητες κινήσεις-development συστημάτων
>authentication κλπ κλπ που θα επιτρέπει στον πελάτη που ΔΕΝ θέλει να
>ασχολείται με το θέμα της ασφάλειας (βέβαια ΜΕΓΙΣΤΗ βλακεία του - το
>κτίριο ενδιαφέρεται να το κλειδώσει, το υπολογιστικό του σύστημα γιατί
>το αφήνει να μπάζει από παντού; - αλλά είναι δικιά του η βλακεία) να
>έχει κάτι καλύτερο από αυτό το ρημαδί password που μπορεί να το
>φανταστεί και 3χρονο παιδάκι; 
>  
>
μα ρε παιδιά γιατί δυσκολευεστε να καταλάβετε οτι δεν μιλάμε για τα 
passwords των δικών μας χρηστών στο δικό μας σύστημα που το ελέγχουμε 
εμείς και ορίζουμε εμείς τους κανόνες και τις μεθόδους? Πάμε με ένα απλό 
παράδειγμα:

* έχω έναν πελάτη
* έχει κάνει μια σύνδεση και καλεί τεχνικό να του κάνει τις σχετικές 
ρυθμίσεις (δεν ξέρει ο άνθρωπος).
* Πάει ο τεχνικός του δήνει ο πελάτης το χαρτάκι με το login / password 
και περιμένει να γήνει η δουλειά του.
* Όταν μετά από 6 μήνες πάμε για format / επανεγκατάσταση απαιτεί από 
εμένα να γνωρίζω το password του. Αν δεν το ξέρω θεωρεί ότι δεν τον 
προσέχω. Να μα την Παναγία δεν σας κάνω πλάκα - έτσι σκέφτεται αρκετός 
κόσμος.

>  
>
>>Δεν ασχολούμε με το τι ψάχνουν οι περίεργοι (δεν έχω καν το χρόνο να το
>>κάνω ακόμα και αν είχα την αρρωστημένη περιέργεια). Αυτό με το οποίο
>>ασχολούμε είναι το *ποια* passwords πελάτων ζητήσαν να μάθουν οι
>>τεχνικοί μας (με λίγα κάθε φορά που ο τεχνικός Χ ζητά να του προβάλει το
>>πρόγραμμα το password του πελάτη Υ με περιγραφή σκοπιμότητας Ζ πέρνω ένα
>>email με τα Χ,Υ,Ζ). ...
>>    
>>
>
>Αυτά τα e-mails έρχονται και φεύγουν χωρίς ψηφιακές υπογραφές και
>encryption;
>  
>
!?
α) μα προς θεού ρε παιδιά αυτά τα emails ΦΥΣΙΚΑ ΚΑΙ ΔΕΝ ΠΕΡΙΕΧΟΥΝ ΤΟ 
PASSWORD ΤΟΥ ΠΕΛΑΤΗ
β) τι στην ευχή να το κάνω το encryption και το digital signature ενός 
email που το στέλνει το πρόγραμμα μου, που τρέχει στον server μου και 
γράφει απλά
"ο γιώργος ζήτησε το password του πελάτη Παπαδόπουλου Ν που αφορά σε 
'σύνδεση στην Forthnet' "?  Τι?

>Αν και δεν είμαι ειδικός της ασφάλειας, διακρίνω πολλές τρύπες 
>
αν αναζητάς φαντεζί τεχνολογίες και ασφάλεια για την ασφάλεια και όχι 
για να καλύψει μια ανάγκη δεν θα τα βρείς ποτέ σε αυτή την υλοποίηση

>- εκτός
>και αν όντως υπάρχει πρόβλεψη για όλα τα παραπάνω και δεν γίνονται
>γνωστά για λόγους ασφαλείας ή ανταγωνισμού.
>  
>
περί ασφάλειας: όχι δεν υπάρχει πρόβλεψη για digital signing και 
encryption γιατί όπως εξήγησα δεν προσφέρουν τίποτα στην περι ου ο λόγος 
εφαρμογή

περί ανταγωνισμού: 7 στους 10 ανταγωνιστές μας δεν ξέρουν τι είναι το 
ssh και νομίζουν ότι το python αφορά μόνο σε φίδια. Ο 1ας στους 10 ίσως 
κάτι να μάθει από μένα αλλά δεν με ενοχλεί καθόλου και οι άλλοι 2 είναι 
σίγουρα καλύτεροι μου και για'υτό δεν νοιάζονται.