Re: [ml] Leggete e meditate...

Stefano Zanero wrote:

> Rispondo citando Ranum:
> 
> "Educating Users
> 
> "Penetrate and Patch" can be applied to human beings, as well as
> software, in the form of user education. On the surface of things, the
> idea of "Educating Users" seems less than dumb: education is always
> good. On the other hand, like "Penetrate and Patch" if it was going to
> work, it would have worked by now. There have been numerous interesting
> studies that indicate that a significant percentage of users will trade
> their password for a candy bar, and the Anna Kournikova worm showed us
> that nearly 1/2 of humanity will click on anything purporting to contain
> nude pictures of semi-famous females. If "Educating Users" is the
> strategy you plan to embark upon, you should expect to have to "patch"
> your users every week. That's dumb.

La stessa logica si può applicare a qualsiasi meccanismo. Ad
esempio, sarebbe "goffo" cercare di scrivere codice con meno bachi,
perché tanto sappiamo che non è possibile scrivere codice senza
bachi. Il fatto è che tutto aiuta ma niente risolve, compresa
l'educazione degli utenti. Parafrasando Ranum, se la sicurezza senza
l'educazione degli utenti funzionasse, ci sono tanti contesti non
informatici, più antichi e critici (es. militari) in cui avrebbero
imparato come farla; invece il buon comportamento dell'utente
continua ad essere importante. Mata Hari insegna ;)

> A better idea might be to
> simply quarantine all attachments as they come into the enterprise,
> delete all the executables outright, and store the few file types you
> decide are acceptable on a staging server where users can log in with an
> SSL-enabled browser (requiring a password will quash a lot of worm
> propagation mechanisms right away) and pull them down.

Anche queste sono soluzioni "per casi particolari", o se vuoi, patch.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxxx
http://www.next-hop.it