Träffade en server idag. Han (eller hon) tyckte inte alls att säkerhet var komplicerat. Tvärtom. Och jag håller med. Vad är problemet? Här är serverns berättelse:
- Jag är en server. Jag får information från andra datorer. Jag lämnar information till andra datorer. Däremellan bearbetar jag den information jag har. Det är mitt liv. Hela livet. Jag gör inget annat, jag vill inget hellre.
- Det finns regler för vad jag ska göra när information kommer till mig, hur jag ska bearbeta informationen jag har och vad jag ska göra när någon ber mig lämna ut information. Vissa regler finns i mina program och databaser, andra regler finns i kataloger hos mig själv och på andra datorer.
- Jag vet inte om reglerna är bra eller dåliga, jag vet inte vad den tänkte som skrev reglerna. Men jag gör exakt det jag är tillsagd att göra. Jag är ju en dator.
- Vissa speciella kataloger innehåller regler som bestämmer om jag överhuvud taget ska ta emot, bearbeta eller lämna ut information när någon ber om det. Reglerna kan t ex säga att den som sitter vid datorn som jag pratar med ska vara identifierad på ett visst sätt och ha en viss typ av roll, eller att den aktuella datorn eller kommunikationen ska ha vissa typer av skydd. Ibland säger reglerna att jag ska kontrollera saker, exempelvis kontrollsummor. Men allt detta är bara exempel på regler jag måste följa.
- Varje gång någon annan dator ber mig göra något kollar jag i katalogerna vilka krav som finns. Om alla krav är uppfyllda låter jag mina program arbeta enligt sina regler. Om något är fel eller fattas, jämfört med katalogen eller enligt programmens regler, gör jag ingenting. Enkelt.
- För att man ska kunna se att jag följt reglerna sparar jag information om vad som hänt och vad jag gjort i min logg. Men eftersom jag är en dator gör jag alltid som jag är tillsagd. Så loggen visar aldrig att jag gjort något fel - tack för det. Om något blir fel beror det alltid på fel i reglerna - som jag alltid följer.
- Så - hur svårt kan det vara att vara säker, egentligen - jag ska ju bara få rätt regler att följa?
torsdag 29 september 2011
onsdag 28 september 2011
Vem i hela världen kan man lita på?
Nätet har skapat en värld där relationer inte känner geografiska, kulturella eller tekniska restriktioner. Vem som helst kan i princip upprätta en relation med vem som helst om vad som helst i den digitala världen. Ofta är relationerna ytliga, ungefär som samtal mellan främlingar på en trottoar, men ibland påverkas stora mänskliga, kulturella, etiska eller ekonomiska värden genom relationen. Därför behöver vi i olika grad känna till saker och ting om vår motpart och dennes förhållanden. Vi behöver helt enkelt känna tillräcklig "trust" i sammanhanget.
Parterna i en relation har inte alltid behov av samma "trust". I princip är den nivå man önskar en funktion av den risk man upplever i det speciella sammanhanget, dvs behovet kan variera beroende på relationens tillfälliga innebörd.
Låt oss ta ett typiskt exempel: Jag och min bank.
Från min sida sett ska banken göra det jag säger att banken ska göra (inom lag och avtal) när jag säger till banken att göra det. Men om någon annan säger samma sak till banken ska banken inte göra det. Enkelt. Mitt behov av "trust" handlar således om att jag ska vara rimligt säker på att jag pratar med banken och ingen annan och att ingen annan kan få banken att göra saker med mina pengar.
Banken å sin sida kontaktas av både kunder och icke-kunder och behöver därför ha koll på med vilket syfte de kontaktas. Varje fråga/order får besvaras/utföras endast om den som kontaktar banken är behörig att få frågan/ordern besvarad/utförd. Beroende på ärendet måste banken därför vara "tillräckligt säker" på vem som är motparten, så att banken inte besvarar/utför obehörigas frågor/order.
Sammanfattningsvis handlar "trust" i detta sammanhang således om att:
Parterna i en relation har inte alltid behov av samma "trust". I princip är den nivå man önskar en funktion av den risk man upplever i det speciella sammanhanget, dvs behovet kan variera beroende på relationens tillfälliga innebörd.
Låt oss ta ett typiskt exempel: Jag och min bank.
Från min sida sett ska banken göra det jag säger att banken ska göra (inom lag och avtal) när jag säger till banken att göra det. Men om någon annan säger samma sak till banken ska banken inte göra det. Enkelt. Mitt behov av "trust" handlar således om att jag ska vara rimligt säker på att jag pratar med banken och ingen annan och att ingen annan kan få banken att göra saker med mina pengar.
Banken å sin sida kontaktas av både kunder och icke-kunder och behöver därför ha koll på med vilket syfte de kontaktas. Varje fråga/order får besvaras/utföras endast om den som kontaktar banken är behörig att få frågan/ordern besvarad/utförd. Beroende på ärendet måste banken därför vara "tillräckligt säker" på vem som är motparten, så att banken inte besvarar/utför obehörigas frågor/order.
Sammanfattningsvis handlar "trust" i detta sammanhang således om att:
- jag (båda) ser till att vara tillräckligt säker på vem jag umgås med
- jag (bank, leverantör) förvissar mig om att min motpart är behörig
- jag (kund) litar på att min motpart hanterar vår relation och min information/egendom "korrekt"
Prenumerera på:
Inlägg (Atom)