[Перевод] Безопасность через неясность недооценивается

В информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить: Никогда не внедряйте собственную криптографию. Всегда используйте TLS. Безопасность через неясность (security by obscurity) — это плохо. И тому подобное. Большинство из них в целом верны. Однако мне начинает казаться, что люди слепо следуют этим аксиомам как культу карго. И многие на самом деле не думают об исключениях из правил. В этой статье я выскажу свои возражения против идеи «безопасность через неясность — это плохо». Риск, эшелонированная оборона и швейцарский сыр Одной из главных задач ИБ является снижение рисков. Согласно методологии OWASP, риск возникновения проблемы рассчитывается по формуле: Риск = Вероятность * Воздействие По этой формуле, проблема удалённого выполнения кода (RCE) представляет больший риск, чем проблема межсайтового скриптинга, поскольку RCE несёт большее воздействие. Здесь всё просто. Но что насчёт метрики вероятности? Читать дальше →

Источник: Хабрахабр