所有安全威胁是否都由软件错误触发？

我听说过的大多数安全威胁是由于软件中的错误引起的（例如，未正确检查所有输入的完整性，堆栈溢出等）。因此，如果我们排除所有社交黑客攻击，是否都是由于漏洞引起的安全威胁？换句话说，如果没有错误，是否就不会有安全威胁（再次，排除诸如公开密码之类的人类错误）？还是可以通过非漏洞引起的方式利用系统？

Bug的定义是未按规格运行的软件。现在，如果规格有问题，那不是软件错误。如果一个愚蠢的客户要求所有密码都必须是三位数字的密码，并且在错误输入之间没有宽限期，这不是软件的罪魁祸首。

许多系统具有“服务模式”，可以覆盖安全性，并且尽管对其进行访问应该是安全的，但是代码通常会向公众泄漏。

数学的进步损害了旧的加密方法。30年前可行的安全措施如今变得薄弱。

有多种数据盗窃方法经常被忽略。由于天线很小，无线键盘的范围约为2m，并且发送的代码未加密。用好的天线从街对面读出它是一种众所周知的方法。

有时，安全权衡是在充分了解后果的情况下进行的-加密系统占用了电源和CPU时间。嵌入式监视应用程序通常以对公众清晰易读的方式发送其数据，因为首先破坏数据的价值可以忽略不计，然后不需要额外的安全性实现成本。

所有安全性都基于信任。指定的管理员无需进行任何社会工程就可以流氓并阅读您的邮件。

最终，有人可以考虑将棒球棍应用于膝盖吗？

在某些情况下，硬件错误也会导致安全问题。只需考虑发生故障的RAM芯片，该芯片会自发地翻转“ isAdmin”位。

或者考虑一个假设的硬件错误，其中的内存保护无法按预期方式工作，并且一个进程可以覆盖另一个进程的内存而不会触发中断。

为了您的阅读乐趣：硬件故障损害了计算机安全性

许多安全威胁来自软件功能，而不是错误。事实证明，许多非常有用的软件功能都是善有恶，仅取决于用户的意图。

考虑分布式拒绝服务攻击（DDOS）。那可能是一种安全风险，但这不是由软件错误引起的，而是由攻击者超越了系统的设计意图所造成的。每个系统都有一个限制。

因此，您的问题的答案是：不，不是所有的安全威胁都是由软件错误触发的。

社会工程学。

您好，我是IT部门的XX。您的计算机当前正在将病毒传播到其他办公计算机。我需要您的用户名和密码才能删除它。

当黑客获得用户名/密码后，他可以安全地安装木马等。

可以通过多种方式应用社会工程学，并且使用它来规避安全性是其中之一。

像Firesheep这样的东西如何呢？Firesheep是一种Firefox插件，可以窃取通过共享无线网络传输的cookie。

您可以辩称对此类攻击的脆弱性是一个错误，但是您也可以反对它。除了通过HTTPS运行所有通信之外，网站没有什么能避免用户受到损害的方法-您可以说在您的网站上接受HTTP通信是一个错误吗？

是的，只要软件安全性故障（无论是直接原因）就是软件无法满足其要求。

我接受这只是一个重言式，但这是对它的衡量。