יומן אבטחה

rotema8 ואני דנו ברשימה על כלכלת אבטחת מידע ומחויבות יצרנים בשאלה מהי בעיית אבטחה וחשבתי שהדיון חשוב מדי מכדי לקבור אותו בתגובות.

אני טענתי שמיקרוסופט מוציאה עדכון לפריצה במנגנון ה-DRM כי זו בעיית אבטחה עם עלות כספית בצידה מבחינתה בעוד שעדכונים לתחנות קצה זו בעיית אבטחה בלי עלות כספית מצידה (עלות כספית משמעותה סנקציה כלכלית מצד הצרכנים). rotema8 טען שפריצה במנגנון ה-DRM אינה בעית אבטחה וזה דבר ראשון שהקפיץ אותי. אחרי כן הוא טען גם שיש היגיון בהוצאת עדכוני אבטחה רק אחת לחודש ולא מייד לאחר איתור פרצה (אני טרם מצאתי את ההיגיון הזה, אך מכיר בקוצר מחשבתי).

בראיה שלי בעית אבטחה היא כל דבר שמאפשר לגורם כלשהו לבצע פעולה לא רצויה במערכת נתונה (לא רצויה מנקודת המבט של מתכנן המערכת). מבחינת rotema8 פריצה במנגנון ה-DRM אינו בעית אבטחה כי הוא לא חושף את המשתמשים לבעיה כלשהי.