依然是 security.stackexchange 上面的提問 [0]
我覺得這算是很常在系統管理上會遇到的問題
發問者提出了一個狀況:
組織裡面的 IT 想要管理其他人的電腦
為了方便起見 他希望電腦名稱跟使用者名稱有關係 (像是 John Doe -> JD)
他想要尋求安全性建議可以回(ㄉㄚˇ)饋(ㄌㄧㄢˇ)
就我看來 如果系統名稱跟合法使用者名稱有關聯性
這樣就有 CWE-200 Information Exposure [1] 的安全性疑慮
通常來說 information leak 沒有太多的問題 就是敏感資訊洩漏而已 (挖鼻)
但是敏感資訊洩漏也是有區分程度的
像是公司有多少員工數量 在 A 公司莫不在意但在 B 公司卻註明在合約中不能公開
對於登入 (Login) 來說通常需要 1) 有效地使用者名稱與 2) 正確的密碼
對於想要入侵的攻擊者來說 這會是一個二維的問題
使用者密碼可能是簡單的 password 但使用者名稱卻可以是複雜的 908714b15f34a119f80e
如果使用者名稱可以很容易的被攻擊者知道 那入侵的問題就變成一維的難度了
[0]: https://security.stackexchange.com/questions/213204
[1]: https://cwe.mitre.org/data/definitions/200.html
--
我覺得這算是很常在系統管理上會遇到的問題
發問者提出了一個狀況:
組織裡面的 IT 想要管理其他人的電腦
為了方便起見 他希望電腦名稱跟使用者名稱有關係 (像是 John Doe -> JD)
他想要尋求安全性建議可以回(ㄉㄚˇ)饋(ㄌㄧㄢˇ)
就我看來 如果系統名稱跟合法使用者名稱有關聯性
這樣就有 CWE-200 Information Exposure [1] 的安全性疑慮
通常來說 information leak 沒有太多的問題 就是敏感資訊洩漏而已 (挖鼻)
但是敏感資訊洩漏也是有區分程度的
像是公司有多少員工數量 在 A 公司莫不在意但在 B 公司卻註明在合約中不能公開
對於登入 (Login) 來說通常需要 1) 有效地使用者名稱與 2) 正確的密碼
對於想要入侵的攻擊者來說 這會是一個二維的問題
使用者密碼可能是簡單的 password 但使用者名稱卻可以是複雜的 908714b15f34a119f80e
如果使用者名稱可以很容易的被攻擊者知道 那入侵的問題就變成一維的難度了
[0]: https://security.stackexchange.com/questions/213204
[1]: https://cwe.mitre.org/data/definitions/200.html
--
All Comments