正如我们所看到的那样,Microsoft在向后兼容方面作出的选择所导致的不良安全问题可能会让他们的顾客在环境、技术能力以及接受改变的意愿方面产生自暴自弃的观点(不管是否正当)。我把当前网络上的另一个(甚至更大的)安全问题归因于开发商的习得性无助和顾客的无从选择这两个因素的结合。大量的审查显示,大多数网络交换机的生产商有意把交换机设计为“失败时打开”而不是“失败时关闭”。交换机用于在数据链路层上的系统之间移动数据包。在这种情况下,“失败时关闭”意味着设备要么关闭并停止发挥作用,或者以一种“安全的”方式停止操作。这样,数据就不会通过存在问题的系统被传递。反之,“失败时打开”意味着系统停止执行任何智能功能,而是盲目地发送它从所有端口所接收到的数据包(注3)。 在本质上,“失败时打开”的交换机相当于把自身变成了一个哑的集线器。如果只想消极地嗅探自己并不想要的网络交通,那么哑的集线器可能正是我们所需要的。功能正常的交换机试图只把流量发送到合适的目的地。 许多机构觉得消极的网络嗅探并不是实实在在的威胁,因为许多交换机都是这样运行的。但在当前,把一个嗅探器连接到一个被交换的LAN并观察自己不应该看到的数据是极为常见的做法,常常会导致该机构的网络部门的极度惊奇。他们并没有意识到生产商不惜一切代价避免连接断开的决定(很可能是害怕顾客由于间歇性中断而产生的狂怒),因此当交换机在遇到缺陷、安全攻击或者对某些数据包的处理缺乏明确的指令等事件时,就把交换机恢复到哑的广播模式。换句话说,生产商安静地为他们的顾客作出了最适合顾客的决定。 我相信如果顾客能够决定哪种方式更适合自己的利益,无疑会让他们处于更加有利的位置。虽然对于装配线而言,让交换机在失败时打开无疑要比在失败时关闭更合适,但也有一些情况下交换机用于分离重要的流量并隔离内部的域和系统。在这种情况下,对于顾客而言,最好的方式就是交换机在失败时关闭并发送一个警报。顾客至少应该拥有选择的权力。 在这里,我们讨论了生产商所面临的习得性无助以及顾客的无法选择。习得性无助来自于生产商对于它能够教育顾客并让顾客获得选择权这个价值所采取的消极态度。它与前面所讨论的遗留系统的兼容性解决方案有相似之处。生产商相信为顾客提供这种额外的可配置性只会让顾客感到困惑,使顾客把事情搞砸或者向生产商拨打大量的服务支持电话。 顾客的无从选择是可以理解的:顾客是从信誉良好的生产商那里购买外观漂亮的系统,当时一切看上去都很顺利。但这种无从选择并不是把系统的实用性降低到不利的程度。是不是必须要让一个系统在任何环境下都可以工作而降低它的安全性?协议是否盲目地允许遗留版本的系统在较弱的安全级别上进行交互?当系统不知所措时,它是否应该恢复到扮演哑的遗留设备的角色?这些情况常常是由于习得性无助所致。
安全之美——1.1.3 客户的习得性无助—无从选择
书名: 安全之美
作者:
出版社: 机械工业出版社华章公司
原作名: Beautiful Security: Leading Security Experts Explain How They Think
译者: 徐 波 | 沈晓斌
出版年: 2011-4-28
页数: 253
定价: 65.00元
装帧: 平装
丛书: O‘Reilly-“之美”系列
ISBN: 9787111334774