Patterns
- Abwesenheit von Hinweisen
- Aktive Warnungen
- Bemerkbare kontextabhängige Hinweise
- Deaktivieren von Sicherheitsfunktionen
- Detaillierte Sicherheitsmitteilungen
- Dialoge mit Handlungsempfehlungen
- Direkte Mitteilungen
- Direkte Optionen
- Direkter Zugang zu UI-Komponenten
- E-Mailgestützte Identifikation und Authentifizierung
- Empfehlungen bereitstellen
- Empfohlene Optionen
- Erstelle Keys bei Bedarf
- Erstellung eines Security-Lexikons
- Explizite Prüfung durch Nutzer
- Explizites Löschen von Einträgen
- Gefahrenstufen
- Generelle Sicherheitsbenachrichtigungen
- Hinweise auf abweichendes Verhalten
- Hinweise auf eingeschränkte Bereiche
- Hinweisen auf Bedrohungen & Konsequenzen
- Indirekter Zugang zu UI-Komponenten
- Informative Dialoge
- Installiere vor der Ausführung
- Kontinuierliches Schlüssel-Management
- Kurze Beschreibung von UI-Komponenten
- Lokalisierung spezifischer Bereiche
- Nutzeraktivierte Sicherheitsfunktionen
- Redundante Hinweise
- Reset auf Installation
- Sende S/MIME-signierte E-Mails
- Sequentieller Zugriff auf UI-Komponenten
- Sicherheit nach Fehlern
- Sicherheitsmaßnahmen des Systems
- Standardmäßiges Deaktivieren von Funktionen
- Systemgenutzte Sicherheitsfunktionen
- Trennung von Warnhinweis und Webseite
- Unterscheidbare Sicherheitsebenen
- Unterscheide zwischen Run und Open
- Unterscheidung von internen Absendern
- Unwiderrufliches Löschen
- Verfolge empfangene Schlüssel
- Verfolge Empfänger
- Verzögerte unwiderrufliche Aktionen
- Warne bei Gefahr
- Wirksame Nutzung existierender Identifikationsmethoden
- Übertrage und sichere Keys
Patterns basieren auf wissenschaftlichen Quellen.
Usable Security Pattern - Unterscheide zwischen Run und Open
Luigi Lo Iacono, Peter Nehren
- Januar 2016
Unterscheide zwischen Run und Open
| Name | Unterscheide zwischen Run und Open |
| Quellen | (Garfinkel, 2005), (Yee, 2002), (Yee, 2004) |
| Synonyme | Keine |
| Kontext | Viele Würmer tarnen sich als Dokumente. Die Opfer versuchen das Dokument zu öffnen, um dessen Inhalt zu sehen, starten aber in Wirklichkeit ein gefährliches Programm. Eine Unterscheidung zwischen den Benutzeraktionen ‘Öffnen’ und ‘Starten’ kann diese Art der Attacken verhindern. |
| Problem | Wie kann man das Ausführen von schadhafter Software vermeiden, wenn eine Datei geöffnet wird? |
| Lösung | Unterscheide zwischen der Aktion des Programmstarts und der des Dateiöffnens. |
| Beispiele | Die DOS- und Unix-Kommandozeilen unterscheiden zwischen dem Öffnen eines Dokuments und dem Starten eines Programms. Beim Öffnen der Datei muss explizit das Startprogramm angegeben werden, z. B. % emacs myletter.tex. Dieses Pattern soll keine Empfehlung sein, zu den Zeiten von reinen Kommandozeilen-Interfaces zurückzukehren. Jedoch zeigt sich, dass diese Interfaces weit verbreitet sind und immer noch genutzt werden, was darauf schließen lässt, dass sie recht gut funktionieren.  Source: (Garfinkel, 2005) |
| Implementierung | Bei Betriebssystemen mit einer Desktop-Metapher kann die Doppel-Klick-Geste entsprechend angepasst werden: Wird diese auf ein installiertes Programm angewendet, so wird das Programm gestartet; beim Doppel-Klicken auf ein nicht installiertes Programm, erscheint dagegen eine Warnung oder ein entsprechender Dialog. |
| Konsequenzen | Würmer, wie etwa der Love Letter (Nazario, 2004) und Melissa (Nazario, 2004), werden sich bei Anwendung dieses Patterns wahrscheinlch weniger stark verbreiten. Auch wird Spyware, die vom Nutzer heruntergeladen wurde und sich als Dokument tarnt, wahrscheinlich nicht so oft installiert werden. |
| Abhängigkeiten | Keine |
| Beziehungen | [Installiere vor der Ausführung] |
| Prinzipien | [Sicherer Kanal] |
| Richtlinien | Keine |
| Check Listen | Keine |
| Use cases | Keine |
| Tags | Unterscheide zwischen Run und Open, Fail Safety, Expectation Conformity |
| Log history | [03/08/2016]: Translated to German |
Referenzen
Garfinkel, S.L., 2005. Design principles and patterns for computer systems that are simultaneously secure and usable (PhD thesis). Massachusetts Institute of Technology.
Nazario, J., 2004. Defense and detection strategies against internet worms, Artech house computer security series. Artech House.
Yee, K.-P., 2004. Aligning security and usability. IEEE Security and Privacy 2, 48–55. doi:10.1109/MSP.2004.64
Yee, K.-P., 2002. User interaction design for secure systems, in: Proceedings of the 4th international conference on information and communications security, ICICS ’02. Springer-Verlag, London, UK, S. 278–290.