计算机安全领域的6个最笨的想法

在Slashdot上面看到这个链接，很有意思：
http://www.ranum.com/security/computer_security/editorials/dumb/

简单用中文转述一下，感兴趣的请看原文。

作者认为在计算机安全领域有很多我们常识性的错误的理解和观点，最严重的6条分别是：
1- 默认允许 - 很多东西在我们的系统中都是默认允许的，如程序、端口等，有必要吗？
2- 枚举不好的东西 - 如果我们只需要关心那些东西是我们真正需要的，岂不是比列出那些我们不需要的来得更方便？（我们真的需要和黑客们搞“军备竞赛”？）
3- 渗透然后打补丁- 很多软件厂商都是找人来测试系统安全漏洞，然后争取在黑客利用它们之前发布给客户让客户去打补丁，这样真的是一个好办法吗？（作者举的例子是IE）
4- 黑客很酷 - 很多媒体都有意无意在美化一些不好的事物和行为，比如黑客。
5- 培训/教育用户 - 为什么我们要教育用户不要这样不要那样，有这个必要吗？很多简单的道理和使用习惯往往是你无法预知和阻止用户去做的，除非你从源头上杜绝用户作出这种选择的可能。
6- 为好过无为 - 这就跟中国的道家思想有关了，在我们准备要开始安装和使用一个新的软件或工具时，我们最好停下来先想一想，观察观察。

作者还总结了一些相对不那么严重的错误观点，如：

- 我们不会是攻击对象
- 如果大家都随时打补丁所有人就安全了
- 我们不需要防火墙因为我们有很好的主机安全机制
- 我们不需要主机安全机制因为我们有很好的防火墙
- 我们先用起来，稍后再处理安全性问题
- 我们无法阻止偶然发生的问题

最后这一点很逗，作者举的例子是如果你认为航空业用这种方式来对待你的生命时，你还会乘坐商业航空公司的飞机吗？