?

Log in

No account? Create an account
Рациональный отказ от безопасности - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Рациональный отказ от безопасности [Aug. 9th, 2011|12:28 am]
ArkanoiD
[Tags|, ]
[Current Location |Dvatrzy Kur Miaf]

еще из серии абсолютного must read, прописано всем безопасникам для профилактики профессиональной деформации (в которой даже меня обвиняют регулярно, хотя уж на что я стараюсь не поддаваться):

http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf

Попытка соотнести на распространенных примерах расходы и результаты -- выгодно ли пользователю тратить время и силы на самые простейшие меры по обеспечению безопасности? Или все-таки нет? Например, время, которое пользователи могли бы потратить на разглядывание строки URL на предмет подозрительной информации обошлось бы значительно дороже, чем обходится весь ущерб от фишинга.

Однако все же покритикую эту статью за поверхностность. Она полностью игнорирует очень многие аспекты: динамическую обратную связь в этой системе, неравномерность распределения, плюс сравнение реальных чисел с "теоретическими" и так далее. В общем, все несколько сложнее, хотя стоит признать, что в качестве "наброса" для привлечения внимания к проблеме она годится весьма неплохо.

Ну вот вам простой контрпример: страховка по определению (если мы считаем примитивно, как предлагают в этой статье) может быть выгодна только страховой компании, но никак не клиенту. Тем не менее существуют многочисленные причины, по которым страховой бизнес процветает, а нам удобнее, когда страховка все-таки есть.
linkReply

Comments:
[User Picture]From: dmarck
2011-08-08 08:30 pm (UTC)
Сколь я себе понимаю, одной из главных проблем является фактическая невохможность формализации постановки задачи.

Точнее, в большинстве случаев оная формализация, будь она строгой и хоть сколько-нибудь доказанной, съест такое количество времени, сил и в конечном итоге средств, что... далее см статью, на которую ты ссылаешься.
(Reply) (Thread)
[User Picture]From: rblaze
2011-08-08 08:40 pm (UTC)
Про страховки забавно то, что люди думают - страховщики собирают со всех по чуть-чуть и раздают неудачникам. Но там немного сложнее, бабло в промежутке инвестируется, так что раздать можно больше, чем собрано. Хотя и не обязательно.
(Reply) (Thread)
[User Picture]From: yalexey
2011-08-08 08:56 pm (UTC)
И более того. Страховая компания не брезгует отсудить выплаченную страховку у виновника. Или перестраховать.
Так что договоры страхования могут быть взаимовыгодными в условиях свободного рынка. А учитывая необходимость замораживания фактически отсутствующих у страхуемого сумм на срок страхования, вообще безальтернативными.
(Reply) (Parent) (Thread)
[User Picture]From: sergey_cheban
2011-08-08 10:18 pm (UTC)
С тем же успехом и застрахованный мог бы инвестировать это бабло. Ну хотя бы в банк положить под проценты. А СК, пытающиеся инвестировать чужие деньги, иногда разоряются.
(Reply) (Parent) (Thread)
[User Picture]From: dmarck
2011-08-08 10:20 pm (UTC)
У застрахованного нет такой гибкости -- разве что в паевые фонды, но в нынешних условиях это хуже, и перестрахования не получить.
(Reply) (Parent) (Thread)
[User Picture]From: rblaze
2011-08-09 07:04 am (UTC)
Между процентами на сто миллионов и сто рублей есть существенная разница. Не говоря уж о том, что инвестор из застрахованного не факт что хороший.
(Reply) (Parent) (Thread)
[User Picture]From: sergey_cheban
2011-08-09 07:29 am (UTC)
Беда в том, что из СК инвестор совсем уж хреновый. Потому что деньги, которые достаются СК, для "инвестиций" не предназначены. Это - резервы. У них должна быть максимальная надёжность и, следовательно, низкая доходность.
(Reply) (Parent) (Thread)
[User Picture]From: msh
2011-08-09 02:43 am (UTC)
Страховщики любят этот BS, что они раздают чуть ли не больше, чем собирают, за счет умелого инвестирования. Но действительность легко проверяется - они же public. Берем страховщика на букву A - Allstate, берем год до рецессии (2007), ну и результат

Premiums Earned 29,099.00
Prop-Liab. Insurance Claims 17,667.00

(Reply) (Parent) (Thread)
From: pustota1
2011-08-09 06:41 am (UTC)
Самое забавное это то, что люди думают, что страховщики понимают страхуемые риски. Добро пожаловать на шоу на финансовых рынках.
(Reply) (Parent) (Thread)
[User Picture]From: amarao_san
2011-08-08 08:54 pm (UTC)
Ну, не знаю.

Я перед любым платежом лишний раз адрес сайта проверяю. И даже если корпоративная система попросила пароль - я сначала смотрю, куда логинюсь, а потом уже логинюсь.
(Reply) (Thread)
[User Picture]From: dmarck
2011-08-08 09:10 pm (UTC)
(поиграть в К.О.?)

при нынешнем уровне развития фишинга разве что жёсткие проверки EV плюс сложнообходимый уровень паранойи в броузере -- но большинство-то всё равно не очень думая надавит "ну их, хочу туда!"

И, кстати, не раз озвученная проблема: ни один из существующих броузеров не пикнет ни единым писком при смене сертификата, в особенности при смене подписывающего CA; а надо бы.

Про кривую работу с CRL уж и говорить не приходится.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-08-09 06:25 am (UTC)
ну в эту дудку я отдельно дую уже который год.

к фаерфоксу, кстати, плагин есть, и прокся моя скандалить умеет.
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: arkanoid
2011-08-09 12:36 pm (UTC)
Да какие исследования? Все до единого проверяют цепочку и молчат в тряпочку, если она валидна. Исключений нет. Я же про это сто раз писал.
(Reply) (Parent) (Thread)
From: karpion
2011-08-08 09:27 pm (UTC)
Страховка выгодна клиенту хотя бы потому, что в зависимости от количества имеющихся у него денег цена денег меняется. Грубо говоря, пока здоровый человек зарабатывает по сто буказоидов в месяц, он без труда может отдавать один буказоид в месяц на страховку; но если он заболел и утратил трудоспособность на год, то страховые выплаты ему будут очень ценны, пусть даже суммарная страховая выплата меньше, чем суммарные страховые взносы.
(Reply) (Thread)
[User Picture]From: tsw
2011-08-08 10:47 pm (UTC)
страховки для частных лиц - это в чистом виде продажа людям "страха перед возможными проблемами"
причем часто эти проблемы надуманы!
корпоративные стаховки - это почти на 100% защита менеджеров от акционеров =)
(Reply) (Thread)
[User Picture]From: arkanoid
2011-08-09 06:27 am (UTC)
корпоративные страховки нужны еще для того, чтобы бизнес-партнеры не напрягались.
(Reply) (Parent) (Thread)
[User Picture]From: msh
2011-08-09 02:26 am (UTC)
Мне кажется, эту статью где-то уже обсуждали в ЖЖ года два назад. На самом деле, для использования страховки за свои деньги (а не как часть зарплаты с налоговой оптимизацией) есть одна причина - защита от катастрофических событий с низкой вероятностью. Но для страховки это более-менее очевидно - все знаю, чтобывают пожары и торнадо, редко, но бывают. На другой дом деньги в кармане есть мало у кого. И никому в голову не приходит сказать - что не буду страховать от того, что все сгорит, это ж worst case scenario, лучше застрахую только одну комнату подешевле, в конце-концов пожары обычно тушат и в среднем обгорает только одна комната.

А с безопасностью это как-то неочевидно, из-за непредсказуемой катастрофичности.
(Reply) (Thread)
(Deleted comment)
[User Picture]From: dainjah
2011-08-09 12:53 pm (UTC)
Аналогично. По моему опыту наносимый системе ущерб от подобного класса ПО в моём случае превышал пользу от дополнительного (местами - параноидального) уровня защиты.
К тому же риски у технаря-задрота на порядок меньше рисков среднестатистического пользователя, а средства превентивной защиты развиты куда лучше.
(Reply) (Parent) (Thread)
From: (Anonymous)
2011-08-10 09:53 am (UTC)

MikTeX vs MS Word

Обратил внимание на интересОбратил внимание на интересный нюанс статьи. нюанс статьи.
Статья создана не в Word-е, что было бы разумно ожидать от представителя Microsoft, а в MikTeX - opensource продукте. Пока под Windows.
(Reply) (Thread)