rendesen auditáljákAki vett már részt security auditon, az tudja, mekkora blama az egész. Több köze van a politikához, mint a szakmaisághoz.
A listázott hibákra is csak azt tudom mondani, hogy tenni kell a szivárgásért.Igen, például a szivárogtatáshoz csupán azt kell tenni, hogy jelszómenedzsert használsz. A megoldás az, hogy nem kell semmilyen jelszótárolót használni. /tinfoil hat ON A helyzet az, hogy a jelszótárolásnak az a célja, hogy egy helyen össze legyen gyűjtve az összes hozzáférésed, így ha az FBI/NSA/KGB/FSZB/Mosad/stb. hozzáfér a gépedhez, akkor egyből tudják, hogy milyen távoli szolgáltatásokat használsz, és még a belépési azonosítóid is egyből meglesznek nekik. Mindössze egyetlen mesterjelszót kell lokálban megtörni, és kész is; ahelyett, hogy találgatni és külön-külön feltörni kéne a potenciális rendszereket távolról. (*) Merthogy erre lett valójában kitalálva a jelszómenedzser, nem másra, minden más csak szemfényvesztés meg marketing bullshit. A bökkenő csak az, hogy rajtuk kívül bármelyik rosszfiú kezében is éppúgy használható, és ezt sehogy sem lehet kivédeni. Az sem segít, hogy rengeteg bennük a bug, és emiatt időnként egyébként is szivárogtatják a jelszavakat. Az egész pont arra emlékeztet, mint amikor a 90-es évek vége felé tele volt a net olyan gif bannerekkel, amik pontosan úgy néztek ki, mint egy Windows-os ablak, és az volt rájukírva, hogy "Vírust találtam a gépen! Ide kattintva telepíthető a vírusírtó". Persze mondani sem kell, hogy pont a bannerre kattintva települt a vírus. Na ez a jelszómenedszer is valami ilyesmi, azt mondják, a biztonság érdekében van, holott pontosan azzal vágod haza a biztonságot, ha használod. (*) - fontos különbség, hogy míg a távoli próbálkozások esetén jellemzően pár sikertelenség után letiltódik a hozzáférés, addig helyben annyiszor próbálkozhatsz a mesterjelszó feltörésével, ahányszor nem szégyelled, nincs semmiféle retorzió a sikertelen próbálkozásokért. Vagy ha sietős a dolog, akkor bedobhatod egy cloudba, fertőzött gépekből álló botnet hálózatra (a'la SETI), kibérelhetsz egy kínai kattintófarmot, stb. ahol több 1000 vagy akár 10000 szerver párhuzamosan próbálkozik vele, és pikk-pakk megtalálja valamelyik a helyes mesterjeszót. Mégegyszer, a távoli eléréssel ellentétben a mesterjelszóval bármennyiszer próbálkozhatsz. /tinfoil hat OFF