主题:黑客与许霆 -- yhz
如果操作人员违犯操作手册引起系统错误。那么是他的责任。这就象酒后开车撞树肯定是司机的责任一样。不能说是车的责任,或者是被撞的行道树的责任。
但如果操作人员没有违犯操作手册。那就是系统制造商的责任。就象被酒后开车的司机撞了一下。肯定是他的责任。
至于系统本身。
首先要能保证正常操作下正常的运行。不然叫做没有实现。要打0分的。
其次要能尽量做到识别非正常操作,然后告警或者锁定或者其它什么对策。比如ATM机要能识别取款金额大于账户内现有金额,then alert。这叫做对输入的校验。这个部分做好才能打60分。
再次就是能在错误和崩溃情况下记录现场和恢复等。这叫做系统的健壮性。这些对一般系统来说是加分题。对银行这样的涉钱敏感系统来说就是必答题。不然,我就要联想一下系统采购是不是有猫腻了。
许案里。许的操作完全合法(针对ATM系统来说)。唯一“不合法”的输入就是他取钱的金额大于他现有的金额。但验证这一表达式不是许的义务。相反是ATM系统的责任。所以许某在ATM上的操作不是一次攻击。
系统没有验证这个输入是否合法,或者说系统没有发现自己的某部分实际上已经Crash掉了,导致验证错误。这只能说明系统非常之不健壮。
- 相关回复 上下关系8
压缩 3 层
😄客户端有bug,是可以再现的,您做出来的“bug”,只有您特有 你克我服 字520 2008-03-08 17:41:55
🙂制造壁垒和举证是银行和制造商的责任。 一饮拼千钟 字579 2008-03-08 18:01:09
🙂你说的这是最理想的情况 yhz 字882 2008-03-08 18:15:02
🙂不存在一个完美的系统,但存在一个完美的操作
🙂你完全偏离了讨论的中心 yhz 字1649 2008-03-10 04:44:10
🙂呵呵。这位童鞋显然知道我一看花花绿绿就头疼。 一饮拼千钟 字465 2008-03-10 05:10:47
🙂你的解释更有问题 yhz 字347 2008-03-10 05:21:15
🙂我说过了,我不下是否是盗窃这个结论 一饮拼千钟 字571 2008-03-10 05:42:13