НовостиСобытияКонференцииIT@Work
Безопасность:

Блог

Разработчики, привлекайте к проектам специалистов по безопасности!

Не так давно, разговаривая со своим товарищем, мы затронули тему замков. Он тоже занимается темами безопасности, но физической. В разговоре всплыло что не так давно на выставке он видел дверной замок, открываемый с помощью смартфона. Причем для открывания достаточно было просто подойти к соответствующей двери, держа смартфон в руках.
Удобно? Безусловно! Однако есть как обычно ложка дегтя в бочке меда. На вопрос, а нужно ли ввести какой-то код на смартфоне для открывания двери, представители компании ответили, что нет, не нужно.
Что в результате? Получается, что достаточно похитить смартфон или даже похитить его резервную копию и все? Вход в квартиру свободен?
Да. Именно так. Производители соответствующего замка понадеялись на то что смартфон будет однозначно заблокирован и о безопасности резервной копии пользователь должен заботиться сам.
То есть разработчики приложения ключа перекладывают ответственность за безопасность на плечи пользователя.
На самом деле ситуация в принципе рядовая. Ну не купят у них приложение? Кто виноват?
Но если посмотреть на проблему чуть шире, то можно понять, что такое поведение характерно для разработчиков многих приложений. Впрочем, как и для поведения пользователей. Пользователи надеются на разработчиков, разработчики спихивают вину на пользователей. А тем временем…
Что делать? Привлекать специалистов по безопасности на этапе проектирования проекта? Но это существенно удорожает проект. Да и время создания также увеличивается. А вдруг кто-то другой сделает аналогичное? Как быть? Вы знаете? Я – нет!

Голубев Сергей
Получается, что достаточно похитить смартфон или даже похитить его резервную копию и все?

Так с обычными ключами такая же ситуация. В этом смысле смартфон даже безопасней, поскольку его потеря обнаружится быстрей. Что касается ответственности пользователя. Любимая фраза одного моего знакомого «безопасника» — «дурак должен быть бедным» :).