技术领域以创造“流行语”而略有名气。当然,其他行业也会这样做。“故事驱动”和“规则轻松”的桌面游戏现在很流行,“解构”汉堡和墨西哥卷饼在高级餐厅中很受欢迎。然而,技术领域中使用流行语的问题在于,它们可能会实际影响您的生活。当有人称应用程序“安全”以影响您使用他们的产品时,就做出了一个隐含的承诺。“安全”必须意味着某物是安全的。您可以安全地使用和信任它。问题是,“安全”这个词实际上可以指代很多东西,而科技行业经常将其作为一个通用术语来使用,以至于变得毫无意义。
因为“安全”可能意味着很多,也可能意味着很少,所以谨慎使用“安全”这个词非常重要。事实上,通常最好完全不要使用这个词,而是直接说出您真正的意思。
当“安全”意味着加密时
有时,“安全”是加密的不精确的简写。在这种情况下,“安全”指的是外部观察者窃听您的数据的某些难度。
不要说:“本网站具有弹性和安全性。”
听起来不错!您可能正在想象一个网站,它具有多种双因素身份验证选项、零知识数据存储和坚定的匿名政策。
而是说:“本网站具有 99% 的正常运行时间保证,并且其流量已加密并通过 SSL 验证。”
现在不仅承诺的意图很明确,而且还解释了“安全”是如何实现的(它使用 SSL)以及“安全”的范围是什么。
请注意,这里明确地没有关于隐私或匿名的承诺。
当“安全”意味着限制访问时
有时,术语“安全”指的是应用程序或设备访问。在没有明确说明的情况下,“安全”可能意味着从无用的隐蔽式安全模型,到简单的 htaccess 密码,再到生物识别扫描仪的任何事物。
不要说:“我们已保护系统以保护您。”
而是说:“我们的系统使用双因素身份验证。”
当“安全”意味着数据存储时
术语“安全”也可以指代您的数据在服务器或设备上的存储方式。
不要说:“本设备在存储您的数据时考虑到了安全性。”
而是说:“本设备使用全盘加密来保护您的数据。”
当涉及远程存储时,“安全”可能反而指的是谁有权访问存储的数据。
不要说:“您的数据是安全的。”
而是说:“您的数据已使用 PGP 加密,并且只有您拥有私钥。”
当“安全”意味着隐私时
如今,术语“隐私”几乎与“安全”一样广泛且不精确。一方面,您可能会认为“安全”必须意味着“私密”,但这仅在“安全”已被定义时才成立。某物是私密的,是因为它具有密码访问障碍吗?还是某物是私密的,是因为它已被加密并且只有您拥有密钥?还是它是私密的,因为存储您数据的供应商对您一无所知(除了 IP 地址?)仅仅声明“隐私”是不够的,就像在没有限定条件的情况下声明“安全”一样。
不要说:“您的数据在我们这里是安全的。”
而是说:“您的数据已使用 PGP 加密,并且只有您拥有私钥。我们不要求您提供任何个人数据,并且只能通过您的 IP 地址识别您。”
有些网站声明 IP 地址在日志中保留多长时间,并承诺在没有搜查令的情况下绝不向当局交出数据等等。这些超出了技术“安全”的范围,而与信任息息相关,因此不要将它们与技术规范混淆。
说出您的意思
技术是一个复杂的话题,有很多可能造成混淆的地方。沟通很重要,虽然速记和行话在某些情况下可能很有用,但通常最好是精确。当您为项目的“安全”感到自豪时,不要用一个宽泛的术语来概括它。向其他人清楚地说明您正在采取哪些措施来保护您的用户,并同样清楚地说明您认为哪些超出范围,并经常沟通这些事情。“安全”是一项很棒的功能,但它是一个广泛的功能,所以不要害怕吹嘘具体细节。
评论已关闭。