Haystack 与「隐晦式安全」
Haystack 是 2009 年出现,以混淆作为特点的代理服务,但开发者过于自信,试图使用「隐晦式安全」来开发密码学工具,不依靠开放源代码让公众来检测安全性,自称想要使 Haystack 成为「隐晦式安全」一个正确特例,结果当 Haystack 在伊朗进行测试时,就被密码学专家发现了严重的漏洞,随后 Haystack 唯一的程序员离职,Haystack 也就消失了。
隐晦式安全 (Security through obscurity) 主要是指通过保密,来增加安全性,比如 ShadowsocksR 曾经就是闭源软件,当时对其的批评里就有无法通过研究源码,来检测软件的安全性。
隐晦式安全对于密码学方面的软件来说,还是尽可能不用最好,不过涉及复杂的系统时,隐晦式安全就比较大行其道,比如银行金库的安全细节就不一定完全公开,防止被策划完美的劫案,虚构作品中的劫案,一般也是先获取银行金库的安全细节,才能规划适合的行动。
#Wikipedia
Haystack 是 2009 年出现,以混淆作为特点的代理服务,但开发者过于自信,试图使用「隐晦式安全」来开发密码学工具,不依靠开放源代码让公众来检测安全性,自称想要使 Haystack 成为「隐晦式安全」一个正确特例,结果当 Haystack 在伊朗进行测试时,就被密码学专家发现了严重的漏洞,随后 Haystack 唯一的程序员离职,Haystack 也就消失了。
隐晦式安全 (Security through obscurity) 主要是指通过保密,来增加安全性,比如 ShadowsocksR 曾经就是闭源软件,当时对其的批评里就有无法通过研究源码,来检测软件的安全性。
隐晦式安全对于密码学方面的软件来说,还是尽可能不用最好,不过涉及复杂的系统时,隐晦式安全就比较大行其道,比如银行金库的安全细节就不一定完全公开,防止被策划完美的劫案,虚构作品中的劫案,一般也是先获取银行金库的安全细节,才能规划适合的行动。
#Wikipedia
