Czasami w trakcie pracy doświadczam dysonansu poznawczego. Z jednej strony mam pewne oczekiwanie odnośnie tego, jak coś powinno wyglądać/być zrealizowane/działać, a z drugiej mam empiryczne dowody, że jest zupełnie inaczej. W tej chwili pojawia się pytanie “dlaczego to jest tak zrobione”, oraz wizja “jak to poprawić”. Zgodnie z podstawowym błędem atrybucji pojawia się również skłonność do przypisania “winy” za stan zastany cechom osób odpowiedzialnych za taki stan, pomijane są natomiast kwestie “środowiskowe”.
Najpierw trochę tła. Jest sobie projekt, polega na testowaniu aplikacji. Takiej trochę większej aplikacji. Pracuje przy nim kilka osób. Z różnych powodów podział pracy jest taki, by w miarę możliwości kluczowe elementy były sprawdzone co najmniej na dwie pary oczu. Nie chodzi tu o testowanie tej samej funkcji przez dwie różne osoby, ale szukanie funkcji “podobnych do siebie” i rozdzielenie ich między różne osoby. Dzięki temu może zajść jedna z (grubsza) dwóch sytuacji:
Od dłuższego czasu staram się nie używać pojęcia “test penetracyjny” do określenia tego, czym się głównie zajmuję. Wolę określenia typu security assessment , czy coś w stylu testowanie bezpieczeństwa lub weryfikacja mechanizmów bezpieczeństwa. Nie chodzi mi o pogłębianie/porządkowanie chaosu pojęciowego (walka z używaniem pojęcia “audyt” w kontekście, do którego kompletnie nie pasuje to taka współczesna wersja walki z wiatrakami), chodzi mi natomiast o podkreślenie różnic w celach.
Jest sobie pewien problem. Polega on na tym, że wbrew temu co twierdzą niektórzy, nie mam pamięci absolutnej. Ponieważ to dość częsta przypadłość (brak pamięci absolutnej), podejrzewam, że problem również nie dotyczy tylko mnie. Ciekawy jestem jak sobie z nim radzicie?
Co jakiś czas powraca temat haseł maskowanych i ich rzekomo większego bezpieczeństwa, niż haseł “tradycyjnych”. Nie specjalnie monitoruję te dyskusje, bo swoje zdanie na temat tego typu haseł mam, wiele razy je przedstawiłem i nie spodziewam się zmiany swojej opinii na ich temat. Echa tych dyskusji docierają do mnie przez to, że część dyskutantów odwołuje się do moich wpisów na ten temat.
Jednym z banków, które nie korzystają z haseł maskowanych jest mBank. Część klientów uważa to za wadę, w związku z czym pojawiają się różne dyskusje, na przykład takie:
Wyjaśnienie: czytam sobie ja spokojnie instrukcję obsługi pewnej aplikacji, w której screeny były zaciemnione w ten właśnie sposób. Miałem wiele radości, choć “wartość” zaciemnionych danych była przyzerowa. I nie wiem, czy bardziej śmieszy mnie ten przykład, historia o tym, jak nieumiejętnie “zaciemniono część danych” w udostępnianych dokumentach (patrz np.: Niedokładna “cenzura” PDF-a ujawnia zastrzeżone informacje), czy może przypadek odwrotny, w którym dane z dokumentów papierowych zostały usunięte zbyt dokładnie (Nie mogę znaleźć teraz informacji na temat tego ostatniego przypadku. Coś mi się jednak po głowie kołacze, że pewna agencja tak skutecznie zamazała dane w dokumentach w obawie przed ich opublikowaniem, że teraz sama nie jest w stanie ich odczytać.).
Czasem jest trochę czasu do zabicia, całkiem nieźle sprawdzają się w tym łamigłówki. Jedną z łamigłówek są piramidy. Chodzi o rozmieszczenie na planszy 4x4 piramid o różnych wysokościach w taki sposób, by ze wskazanych miejsc “było widać” określoną ilość piramid. Na każdym polu musi być ustawiona jedna piramida, w linii piramidy muszą mieć różną wysokość.
Ta łamigłówka to świetny przykład tego, jak sprawdza się space–time tradeoff. Wystarczy rozpisać wszystkie możliwe ustawienia piramid na planszy (wbrew pozorom wcale nie ma ich tak wiele), dla każdego ustawienia piramid rozpisać ilość “widocznych piramid” z poszczególnych miejsc, a później tylko wyszukać odpowiedniego ustawienia. Łatwizna :)