El cifrado es difícil de hacer bien, y no hay una forma correcta de hacerlo. Para diseñar e implementar adecuadamente una medida de seguridad de cualquier tipo, el diseñador debe haber pensado al menos en un “modelo de amenaza”, si no ha escrito uno en detalle.
Para una empresa o persona en particular, esto es algo sencillo e implica enumerar los tipos de ataques que podrían realizarse sobre la cosa / información / activo que desean proteger.
Para cualquier producto de mercado masivo, esto se vuelve complicado. Diferentes usuarios emplean el mismo producto de diferentes maneras y para diferentes propósitos. Cualquiera de ellos puede introducir exposiciones a diferentes riesgos o amenazas. Cuando también agrega diferencias en la experiencia del usuario a la ecuación, la complejidad del desafío aumenta aún más.
- Si me conecto a un sitio web HTTPS seguro a través de un proxy HTTP, ¿podrá el servidor proxy leer la información que se pasa?
- ¿Qué tan fácil o difícil es para los estudiantes indios conseguir un trabajo después de hacer una maestría en seguridad cibernética en una universidad de los Estados Unidos?
- ¿Cuáles son los mejores institutos en la India durante 6 meses de capacitación en información / ciberseguridad y piratería ética?
- ¿Es bueno el antivirus McAfee?
- Cómo obtener una pasantía en ciberseguridad
La usabilidad es importante, y con los controles de seguridad (el cifrado es uno), no solo es importante que la capacidad de seguridad sea utilizable, sino que, bajo ninguna circunstancia, existe una situación en la que un usuario piense que está funcionando cuando en realidad no lo es. Una consideración similar es cuando un usuario piensa que la protección es integral para su caso de uso cuando en realidad no lo es.
Hacer que el cifrado sea fácil de usar en un producto de mercado masivo no es nada fácil.
Además, aunque hay muchas cosas que se pueden ejecutar dentro de un navegador, es un hecho que el entorno de todos no es idéntico, incluso cuando están ejecutando la misma versión del mismo navegador. Si un usuario instala extensiones o complementos del navegador, estos tienen el potencial de romper el cifrado o los mecanismos de seguridad, tal vez incluso en silencio.
Afortunadamente, Google ha anunciado que están asumiendo este desafío, y ha eliminado el código prototipo para su revisión.
http: //googleonlinesecurity.blog…