SevereK20
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angeldracon
С этим не поспоришь, НО блин!
Не хочу сорить в эту тему по поводу KS и его "ляпов", так что немного рассуждений про КПМ...
Касперский - крупнейшая компания по кибербезу, все продукты покупают занимают первые места во всех рейтингах... И выходит на рынок менеджер паролей, среди функций которого - генератор паролей с неправильным источником энтропии. Ок, впихнули модный-современный механизм генерации и не совершили единственное усилие которое от вас требовалось - не прочитали про критически важный входной параметр для генератора.
Крупнейшая компания по кибербезу не тестировала генератор? Не пробовала запустить генератор на 3-5 разных ПК (виртуалках), собрать сгенерированные пароли и обнаружить там дикое количество одинаковых паролей? Точнее, не дикое, а ВСЕ пароли были бы одинаковые.
Ну, ладно, допускаю что могла произойти оплошность и в релиз вышла одна версия. Но, нет, этот баг тянулся ГОДАМИ. КАК такое возможно? Никакого тестирования, никакого аудита? Или тестируются и проверяется ВСЕ кроме генератора паролей? Кто-то в это поверит?
Если это ок и "ну, бывает" - то я чего-то очень сильно не понимаю. Может такой баг и ок для одинокого разработчика или компании с штатом в 3 человека, но для лидера кибербеза...
Вот и напрашивается вывод про что больше касперский - про безопасность или про маркетинг.
Дураками никого не считаю, но истинно недоумеваю как в KPM можно хранить пароли. Как по мне, так это просто безумие. Когда продукт ГОДАМИ доходит с такими дикими ошибками до конечного пользователя надеяться на то что в нем нет бэкдоров / уязвимостей которые хацкеры втихую юзают и не афишируют - это нужно быть очень отъявленным оптимистом.
Ну и 1200р в год которые компания платит за использование этого продукта - явно не те деньги, за которые можно рисковать паролями. |
