[Owasp-Helsinki] Owasp huippukymppi
Jari Pirhonen
japi at iki.fi
Thu Sep 25 08:31:04 EDT 2008
Thomas Malmberg kirjoitti:
> Quoting Jari Pirhonen <japi at iki.fi>:
>
>> 8. Salausmenetelmien virheellinen käyttö
>>
>> Sovellus ei käytä salausta luottamuksellisten tietojen suojaamiseen tai
>> salauksen toteutuksessa on heikkouksia. Heikkouksia ovat esim. itse
>> suunnitellut salausmekanismit, heikkojen salausmekanismien käyttö,
>> vahvojen salausmekanismien virheellinen käyttö ja puutteellinen
>> salausavainten suojaus. Tämä mahdollistaa luottamuksellisen tiedon
>> paljastumisen.
>>
>> (Insecure Cryptographic Storage,
>> http://www.owasp.org/index.php/Top_10_2007-A8)
>
>
> Tässä jää mielesäni se olennainen asia kääntämättä, eli kyse on
> storagesta, tiedon tallennuksesta tavalla tai toisella. Tämä teksti on
> mielestäni sopivampi kohtaan Insecure Communications käännöksensä
> puolesta.
>
Tämä tuli myös minun mieleeni. 8 ja 9 olisi hyvin voitu yhdistää yhden
otsikon alle, mutta ehkä on haluttu tuoda SSL-käyttömahdollisuus
korostetusti esille.
Teksti kyllä mielestäni pätee tiedon salaukseen myös "storagessa". Tosin
tuon kohteen voisi koettaa ujuttaa tekstiin. Mikähän olisi hyvä termi -
tietovarasto?
Jari
More information about the Owasp-helsinki
mailing list