컴퓨터 보안-왜 회사는 더 나은 보안을 원하지 않습니까? [닫은]

-1

회사가 웹 사이트를 개발할 때 더 나은 보안을 구현하는 것이 왜 그렇게 어려운가? 예를 들어, 수백만 달러 규모의 회사 인 Sony는 사용자 이름, 암호 및 신용 카드 정보를 서버에 일반 텍스트로 저장해도된다고 생각했습니다. 정보를 저장하기 전에 프로그래머가 데이터를 암호화 할 수없는 이유는 무엇입니까?

나는 웹 개발 속도를 높이기 위해 프로그래머가 보안을 사용하지 않고 있다고 의심한다.

나는 항상 좋은 컴퓨터 프로그래머가 웹 페이지 나 응용 프로그램의 개발 속도를 높이기 위해 보안을 사용하지 않을 것이라고 생각했습니다.

그래서 진짜 무슨 일이야? 개발자가 보안을 염두에두고 프로덕션을 시작하지 않습니까 (확실히 의심 스럽습니다)이 프로그래머를 고용하는 회사는 개발 속도를 높이기 위해 보안을 없애라고 지시합니까? 또는 (생각해도 무서워) 개발자가 사이트 나 응용 프로그램을 더 빨리 개발할 수 있도록 보안을 염두에 두지 않습니까?

security

— Nexusfactor
소스

"나는 항상 좋은 컴퓨터 프로그래머가 웹 페이지 나 응용 프로그램의 개발 속도를 높이기 위해 보안을 사용하지 않을 것이라고 생각했습니다." 슬프게도, 당신은 잘못 생각했습니다. :) 많은 훌륭한 프로그래머들이 보스를 데려 가서 잘라 내야하는 코너를 잘라냅니다.

— Ƭᴇcʜιᴇ007

@ techie007-왜 내가 잘못 생각 행복합니까?

— Nexusfactor

당신이 옳다고 생각한다면 우리는 깊은 보안 부두에있을 것입니다

— Joe Taylor

보안 희생은 생산성 향상의 일부가 아닙니다. 새로운 기술은 생산성 향상의 일부입니다. 예를 들어, 회사는 ASP .NET을 사용하여 웹 응용 프로그램을 구축하려고합니다. 새로운 기술을 통해 품질을 저하시키지 않으면 서 10 배 더 빠르게 구축 할 수 있다고 말했습니다. 저는 현재 Ruby on Rails에서 개발 중이며 몇 주 안에 3 개월 이상 작업 한 프로젝트가 거의 완료되었습니다.

— kobaltz

내가 오해하고 있을지도 모릅니다. 내가 한 말에 무엇이 잘못 되었습니까? 나는 단순히 좋은 프로그래머는 개발 속도를 높이기 위해 보안을 사용하지 않을 것이라고 말했다.

— Nexusfactor

답변:

대규모 프로젝트의 경우 :

여기에 이미지 설명을 입력하십시오

두 개를 선택하십시오 .

자세한 내용은 다음을 참조하십시오 : http://en.wikipedia.org/wiki/Project_triangle

— Ƭᴇcʜιᴇ007
소스

위대한 다이어그램과 슬프게도 너무 진실

— Joe Taylor

매우 간결합니다 (그러나 약간의 trite도). 이것은 비즈니스의 많은 문제이지만 사용성에 관한 근본적인 문제와 아무도 앱을 구성하는 모든 것을 만들 수 없다는 사실이 있습니다. 기본 시스템에 취약점이 있다면, 얼마나 많은 것을 알고 있는지, 얼마나 많은 시간을 소비하는지, 또는 얼마나 많은 비용을 소비하는지는 중요하지 않습니다. 고장 안전에 중점을 둔 심층 방어 전략은 필수이며 (비용에 따라 비용이 많이 들지만) 보안조차도 실제로 도달 할 수없고 무한히 접근 할 수없는 이상적인 상태입니다.

— Frank Thomas

@FrankThomas "... 아무도 앱을 구성하는 모든 것을 만들 수는 없습니다." - "... 당신은 ... 지출 얼마나 심지어 당신이 가지고 얼마나 많은 시간을 알고, 또는 얼마나 많은 문제가되지 않는다"하나를 만들 수있는 충분한 시간과 돈이 있다면, 나는 동의 모든 층이 상단에, -최고의 품질. 그래도 일어날 수는 없습니다. :)

— Ƭᴇcʜιᴇ007

내 생각에 그들은 더 빠른 개발과 더 빠른 네트워크 속도를 위해 그것을 버렸다. 통신에 암호화를 포함하면 통신 속도가 느려지기 때문입니다. 내 의견은 그들이 그것을 구현해야한다고 생각합니다. 누구든지 내 답변을 편집하여 개선하려고한다면 그것을하십시오.

— 팀 조나스
소스

@Ted Williams- 그러나 보안 구현의 결과로 네트워크 속도가 느리더라도 회사는이를 피하지 않아야합니다. 사용자는 신용 카드 정보로이 대기업을 맹목적으로 신뢰합니다. 정보를 신뢰하는 사람을 진지하게 살펴볼 때가되었습니다.

— Nexusfactor

그들의 정보가 암호화되지 않았다면 예, 무책임합니다. 많은 회사는 보안을 테스트하기 위해 펜 테스터를 고용하지 않아도됩니다. 그들은 인종 주의자가 아닌 미안 보안을 유지하기 위해 시스템 관리자에게 졸업장을 가지고있는 인도 기술에 의존합니다. 네트워크 관리자는 nmap 스캔을 실행해야하며 웹 취약점 스캔은 슬프게도 그렇지 않습니다.

— Tim Jonas

@TimWilliams, PenTesting은 안전하다는 표시가 아니며 고용 한 사람보다 보안이 우수하다는 표시 일뿐입니다. 나쁜 습관을 말하는 것이 아니라 절대 바보가 아닙니다.

— Frank Thomas

@FrankThomas 예 skipfish 또는 owasp와 같은 프로그램은 웹 사이트가 안전하지만 수동으로 소스 코드를 통해 보는 것이 그렇지 않다고 말할 수 있습니다. 요즘 오픈 소스 소프트웨어가있을 때는 항상 악용 할 수있는 방법이 있습니다.

— Tim Jonas