A probléma inkább az, hogy a első lépésként a programozókat kéne oktatni arra, hogy hogyan kellene programozni biztonságosan. A Microsoft-nál is ezzel kezdték. Kíváncsi lennék egy programozók körében végzett, biztonsági kérdésekből összeállított teszt eredményére.
A "mitigation" az meg annyit ér, amennyit. Láthatjuk. Minden rendszerben vannak ordas hibák és ki is használják őket. A Microsoft operációs rendszerei sem kivételek. Aki abba a hiú ábrándba ringatja magát, hogy az "all significant mitigations" mellett biztonságban van, az óriásit téved.
Ráadásul ez a security téma a NSA sztorik fényében egy kicsit elhalványul. Pl. engem érdekelne, hogy security cuccokat áruló vagy telepítő ember hogyan tud 100%-ban megbízni abban, amit árul vagy telepít. Ha meg nem tud, akkor vajon milyen érzése van ezekkel kapcsolatban?
--
trey @ gépház