rapport skrifaði:Ef að það væri upptalning á nákvæmlega hvað ætti að gera þá væri það gátlisti yfir skref sem hakkarar þyrfti að bjótast í gegn.
Það er ekki það sem ég myndi vilja en hvað heldur þú að væri að því? Þú ert að stinga upp á security through obscurity sem er almennt ekki vel metin hugmynd.
Hvað þætti þér að því að hafa lista yfir það sem mætti
ekki gera?
Reglugerð sem segði að það mætti ekki geyma lykilorð?
Reglugerð sem segði að það mætti ekki geyma ósöltuð hösh af lykilorðum?
Reglugerð sem segði að það mætti ekki nota fast hashing?
Reglugerð sem segði að það mætti ekki nota sama saltið fyrir tvo notendur?
Það sem eftir stæði væri slow hash af user unique söltuðum lykilorðum. Þó þetta sé ekki öruggasta uppsetning möguleg þá er þetta a.m.k. byrjunarreitur.
Reglugerðin mætti þess vegna segja fyrir mér að það mætti hunsa hana ef notanda væri skilmerkilega gert grein fyrir því að ekki mætti búast við neinu öryggi við notkun.
Sem er skilmáli sem að Vefstjori.is ætti að setja við öll sín verk. Þann skilmála og SSL certificate.
rapport skrifaði:Með því að hafa kröfuna stutta og hnitmiðaða "Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga" þá er krafan augljós og leiðir að markmiðinu eru svo teknar út eftir þörfum.
Hvernig er hægt að "tryggja" vernd persónuupplýsinga? Það er ekki hægt, er það? Öryggi er cat and mouse game og þessi setning er grínlaust gagnslaus í
báða enda.
Ef maður tekur hana alvarlega þá biður hún um ómöguleikann og allir eru sekir og ef maður tekur hana bókstaflega er hún ekki að tryggja neitt öryggi og allir eru saklausir.