Security is about deciding what's forbidden, what's allowed and enforcing these decisions.
There's the technical part, doing what you can to technically enforce the decisions.
And there's the human part, managing things in a way that reduces related uncertainties.
The human part is the most important. You cannot enforce every decision technically. Besides, you have to allow for people to switch on/off certain features, eg to allow for good functioning outside of the company's premises. So, you forcibly leave some room for employees to decide by themselves whether they respect the rules or not. And that's the moment when the human factor matters.
The most important tool for the human factor is the security policy. You have to say what you do in terms of security and to do precisely what you say.
If you don't do what you say, you invite people to force the system, they think they can fool you. It may go as far as disregarding completely the policy.
If you don't say what you do, you invite people to rebel and contest the security measures. Additionally, you scramble people's understanding of your security policies, which may lead them to give up trying to respect it.
Saturday, June 16, 2012
Tuesday, June 12, 2012
Note on the Future of RSS Feeds
These days, I see a decline in the publication of RSS feeds. Either they're not present, not advertised much, or incomplete. This is especially true of mainstream, non-professional sites.
One of the reasons that might lead bloggers and webmasters to remove or neglect RSS feeds is that they provide no way to count followers (unique followers). A good evolution off RSS would be to allow a simple "declarative" download of RSS feeds.
One of the reasons that might lead bloggers and webmasters to remove or neglect RSS feeds is that they provide no way to count followers (unique followers). A good evolution off RSS would be to allow a simple "declarative" download of RSS feeds.
- Authentication might be hard to obtain and maintain.
- Identified-only feeds might make users reluctant to use them.
- "Declaration" of an identifier of the follower is subject to many uncertainties, but could allow for a better count of unique users, returning users, etc.
Sunday, June 10, 2012
Security ROFL 6
- 10 (or so) of the worst passwords exposed by the LinkedIn hack, like "ihatemyjob", "fuckmylife" or "123456" through Anton Chuvakin's G+.
- Using tax refunds to steal money from taxpayers ;-) Tax Return Identity Theft from Bruce Schneier's blog.
- Displaying password in the TV news is no good idea ;-) from the Front Line Sentinel blog.
- Movie Hacking vs Real Hacking, from the Saturday Morning Breakfast Cereal webcomics.
- Dilbert's use of users' private data :-D
- And finally the eternal lesson from the Demotivators :
Thursday, June 7, 2012
A l'attention des RSSI : Sur la fuite des mots de passe LinkedIn
Il y a quelques jours, une fuite massive de comptes et de mots de passe LinkedIn a été révélée sur Internet.
Je recommande aux RSSI de faire suivre le mot au sein de leur entreprise/administration.
En effet, comme le site LinkedIn utilise l'adresse e-mail des gens comme identifiant, la plupart des utilisateurs moyens utilisent pour ce site le même mot de passe que pour leur adresse e-mail. Ainsi, les adresses e-mail de ces utilisateurs deviennent des cibles, via les webmails.
De plus, les utilisateurs qui réutilisent leurs mots de passe risquent aussi de les réutiliser pour tous les autres sites dont l'identifiant est l'adresse e-mail. Ces autres sites sont donc menacés aussi.
Exemple : Un utilisateur lambda, Jean Dupont, travaille pour la société Youpeee. Son adresse e-mail est "jean.dupont@youpeee.fr". Son mot de passe est "kevin1502", le prénom de son fils et sa date d'anniversaire. Jean s'enregistre sur LinkedIn avec son adresse e-mail et, pour simplifier, le même mot de passe "kevin1502". Il fait de même sur Facebook. Il fait de même sur Amazon.
De plus, pour qu'il puisse télé-travailler, son entreprise met à disposition un site http://webmail.youpeee.fr où il peut consulter son courrier électronique.
Aujourd'hui son mot de passe LinkedIn fuite sur Internet. Résultat :
Je recommande aux RSSI de faire suivre le mot au sein de leur entreprise/administration.
En effet, comme le site LinkedIn utilise l'adresse e-mail des gens comme identifiant, la plupart des utilisateurs moyens utilisent pour ce site le même mot de passe que pour leur adresse e-mail. Ainsi, les adresses e-mail de ces utilisateurs deviennent des cibles, via les webmails.
De plus, les utilisateurs qui réutilisent leurs mots de passe risquent aussi de les réutiliser pour tous les autres sites dont l'identifiant est l'adresse e-mail. Ces autres sites sont donc menacés aussi.
Exemple : Un utilisateur lambda, Jean Dupont, travaille pour la société Youpeee. Son adresse e-mail est "jean.dupont@youpeee.fr". Son mot de passe est "kevin1502", le prénom de son fils et sa date d'anniversaire. Jean s'enregistre sur LinkedIn avec son adresse e-mail et, pour simplifier, le même mot de passe "kevin1502". Il fait de même sur Facebook. Il fait de même sur Amazon.
De plus, pour qu'il puisse télé-travailler, son entreprise met à disposition un site http://webmail.youpeee.fr où il peut consulter son courrier électronique.
Aujourd'hui son mot de passe LinkedIn fuite sur Internet. Résultat :
- Ses comptes Facebook et Amazon sont menacés.
- Son courrier électronique d'entreprise est menacé.
- Si l'entreprise Youpeee utilise d'autres moyens de télétravail, ils peuvent eux aussi être menacés.
Tuesday, June 5, 2012
Le problème du transfert des données des passagers européens aux États-Unis
Article qui pointe un problème de fond : Le problème du transfert des données des passagers européens aux États-Unis.
Le problème de fond est l'harmonisation des législations et des pratiques informatiques (ou "informatique et libertés") entre des pays "alliés sur tous les autres plans", ici l'Union Européenne et les États-Unis.
L'une des parties a une tendance très démocratique, sauf sur les questions de politique étrangère (États-Unis), l'autre a une tendance très pro-peuple mais peu démocratique (Union Européenne). Je n'ai pas de certitude sur la façon dont ces problèmes vont se résoudre, à terme, mais je parie que le processus ne sera pas démocratique.
Le problème de fond est l'harmonisation des législations et des pratiques informatiques (ou "informatique et libertés") entre des pays "alliés sur tous les autres plans", ici l'Union Européenne et les États-Unis.
L'une des parties a une tendance très démocratique, sauf sur les questions de politique étrangère (États-Unis), l'autre a une tendance très pro-peuple mais peu démocratique (Union Européenne). Je n'ai pas de certitude sur la façon dont ces problèmes vont se résoudre, à terme, mais je parie que le processus ne sera pas démocratique.
Weiße Listen
Ich bin immer neugierig über Anwendungsfalle einer Technologie weg von ihrer ursprünglicher Welt : Weiße Listen
:-D
Monday, June 4, 2012
Epiphany: Free Software = Lower Entry Barrier = Greater Risk of Project Failure
Discussing with a friend lead me to this epiphany: the reason why Free/Libre/OpenSource software is not used enough in traditional companies is that they invest too little in it. Not in money, but in time, thought and human resources.
Since FLOSS has a very low entry barrier (starting from just zero, up to prime class paying service from companies such as IBM), it tends to attract people and companies that want to invest very little in it. That's why they fail to make a great use of it.
Mem: I think there's a business model in just selling GPL software, without any added value, with the argument that the buyer will be more motivated to implement it well ;-)
Subscribe to:
Posts (Atom)
Posts
