「安全」這個熱詞:應避免使用還是該更直接了當?
思考一下,如何在你的開源項目中真正定義安全性吧。
科技行業以創造「熱詞」而小有名氣,當然,其他行業也是如此。譬如,「故事驅動」和「輕規則」是當下流行的桌游概念,「解構」的漢堡和墨西哥卷餅在高級餐廳頗受歡迎。然而,技術熱詞的問題在於,它們可能直接影響你的生活。當某人標榜應用程序「安全」,以此來吸引你使用他們的產品,產品實際上是在暗示一種承諾:「安全」的含義就是它是安全的,它值得你的使用與信任。但問題是,「安全」這個詞可能指的是許多事情,技術行業常將它用作一個過於泛化的術語,以至於它逐漸失去了實際含義。
由於「安全」一詞可能含義豐富,也可能一無是處,使用它就需要慎之又慎。事實上,最好是盡量避免使用這個詞,取而代之的是,訴諸你真正要表達的東西。
當 「安全」 意味著加密
有時候,「安全」 會被作為 加密 的非常不明確的簡短表述。在這種情況下,「安全」 指的是,對於外部觀察者想要竊聽你的數據,要經過一定的困難。
避免這樣表述:「本網站穩如磐石且安全無憂。」
聽起來很棒?你可能會想像一個擁有多重二次驗證、零知識證明數據存儲以及堅決的匿名策略的網站。
你可以這麼說:「本網站承諾有 99% 的在線時間,並且其流量都通過 SSL 進行加密和驗證。」
這樣一來,承諾的含義變得清晰了,同時也明確了實現 「安全」 的方法(即使用 SSL)以及 「安全「 的作用範圍是什麼。
注意,這裡並未對隱私或匿名做出任何明確的承諾。
當 「安全」 意味著訪問限制
有時,「安全」 這個詞是指應用程序或設備的訪問許可權。如果沒有明確的解釋,「安全」 可能涵蓋從無效的「隱蔽即安全」模式,到簡單的 htaccess 密碼,直到生物識別掃描器等各種概念。
避免這樣表述:「我們已經為你防護好了系統。」
你可以這麼說:「我們的系統採用了二步驗證法。」
當 「安全」 意味著數據存儲
「安全」 這個詞也可以指你的數據在伺服器或設備上的儲存方法。
避免這樣表述:「這個設備在數據存儲上考慮了安全因素。」
你可以這麼說:「這個設備利用全盤加密技術來保護你的數據。」
當提到遠程存儲時,「安全」 可能更多指的是誰可以訪問存儲數據。
避免這樣表述:「你的數據是安全的。」
你可以這麼說:「你的數據經過 PGP 加密,僅你持有私鑰。」
當 「安全」 意味著隱私
今天,「隱私」 一詞幾乎和 「安全」 一樣寬泛且模糊。一方面,「安全」 似乎必然就涉及 「隱私」,然而,這僅在 '安全' 有明確定義時才成立。是因為設有密碼阻止外人進入所以稱之為私有嗎?還是因為數據已加密且僅你擁有密鑰所以歸為私有?又或者,由於存儲你數據的廠商除了 IP 地址外對你一無所知,這才算是私有?光是口頭聲明 「隱私」,就像未經說明就聲明 「安全」 一樣,是不夠的。
避免這樣表述:「你的數據在我們這裡是安全的。」
你可以這麼說:「你的數據經 PGP 加密,且只有你擁有私鑰。我們不需要你的任何個人信息,唯一能識別你的只有你的 IP 地址。」
一些網站會聲明 IP 地址在日誌中保留期限,及非經法律授權絕不向執法部門交出用戶數據等諸多承諾。雖然這些並不屬於技術 「安全」 的範疇,但它們全都涉及的是信任度,你不能將這些看作是技術規格。
明確所說
科技是個複雜的話題,極易引發混淆。溝通是至關重要的,雖然有時候簡拼和專有名詞在某些場合可能管用,但通常來說,講明白總是比較好的。當你對你的項目的 「安全」 感到自豪,不要只用模糊的詞語進行簡述。向其他人明確你具體做了什麼來保護你的用戶,同時也要明確你認為哪些事物已超出你的考量範圍,並要經常進行這樣的溝通。「安全」 是個好特點,但它的涵蓋面過廣,所以請勿畏於誇讚自己在某個具體方向上的特別之處。
(題圖:MJ/b8cc54ee-5556-4106-b9fa-b08539452aa7)
via: https://opensource.com/article/22/9/security-buzzword-alternatives
作者:Seth Kenlon 選題:lkxed 譯者:ChatGPT 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive