Глоссарий

• Шифрование AES  

  Сокращение для шифрования Усовершенствованного стандарта шифрования. Федеральный стандарт по обработке информации (FIPS), описанный в публикации 197 FIPS. AES был принят правительством США для защиты чувствительной, незасекреченной информации.



• атакующий  

  Кто-то сознательно пытающийся заставить программную или операционную систему сделать что-то, что это, как предполагается, не делает, такие как разрешение атакующему выполнить код или считать частные данные.



• аутентификация  

  Процесс, которым лицо или другой объект (такой как сервер) доказывают, что это - кто (или что) это говорит это. Соответствуйте авторизации.



• авторизация  

  Процесс, которым объект, такой как пользователь или сервер получает право выполнить привилегированную работу. (Авторизация может также отослать вправо себя, поскольку в “Бобе имеет авторизацию выполнить ту программу”.) Авторизация обычно включает сначала аутентификацию объекта и затем определение, имеет ли это надлежащие полномочия. См. также аутентификацию.



• переполнение буфера  

  Вставка большего количества данных в буфер памяти, чем была зарезервирована для буфера, приводящего к ячейкам памяти вне перезаписываемого буфера. См. также переполнение «кучи» и переполнение стека.



• CDSA  

  Сокращение для Архитектуры безопасности Общих данных. Открытый стандарт программного обеспечения для инфраструктуры безопасности, обеспечивающей огромное количество служб безопасности, включая тонкозернистые права доступа, аутентификацию пользователей, шифрования и безопасного хранения данных. CDSA имеет стандартный прикладной программный интерфейс, названный CSSM.



• Центр координации CERT  

  Центр экспертных знаний Защиты в сети Интернет, расположенных в Институте программной инженерии, финансируемый государством научно-исследовательский центр, которым управляет Университет Карнеги-Меллон. CERT является акронимом для Компьютерной Команды Готовности Чрезвычайной ситуации.)



• сертификат  

  См. цифровой сертификат.



• Общие критерии  

  Стандартизированный процесс и набор стандартов, которые могут использоваться для оценки безопасности программных продуктов, разработанных правительствами США, Канады, Соединенного Королевства, Франции, Германии и Нидерландов.



• взломщик  

  Посмотрите атакующего.



• CSSM  

  Сокращение для менеджера Common Security Services. Общедоступный прикладной программный интерфейс для CDSA. CSSM также определяет интерфейс для плагинов, реализующих службы безопасности для определенной операционной системы и аппаратной среды.



• CVE  

  Сокращение для Общих Уязвимостей и Воздействия. Словарь стандартных имен для уязвимостей системы обеспечения безопасности расположился в http://www .cve.mitre.org/. Можно выполнить Поиск в Интернете на числе CVE для чтения подробных данных об уязвимости.



• цифровой сертификат  

  Набор данных раньше проверял идентификационные данные держателя. OS X поддерживает стандарт X.509 для цифровых сертификатов.



• использование  

  Программа или пример кода, демонстрирующий, как использовать в своих интересах уязвимость.)



• FileVault  

  Функция OS X, сконфигурированная через предпочтение Системы безопасности, шифрующее все в на корневом объеме (или все в корневом каталоге пользователя до OS X v10.7).



• хакер  

  Опытный программист — обычно один с навыком для создания использования. Большинство хакеров не атакует другие программы, и некоторые публикуют использование с намерением того, чтобы вынуждать разработчиков программного обеспечения фиксировать уязвимости. См. также деточку сценария.



• «куча»  

  Область памяти зарезервирована для использования программой во время выполнения. Данные могут быть записаны в или считаны из любого расположения на «куче», становящейся восходящей (к более высоким адресам памяти). Соответствуйте штабелю.



• переполнение «кучи»  

  Переполнение буфера в «куче».



• омографы  

  Символы, выглядящие одинаково, но имеющие различные значения Unicode, такие как римский символ p и российский глиф, объявленный как «r».



• целочисленное переполнение  

  Переполнение буфера вызвало путем введения номера, который является слишком большим для целочисленного типа данных.



• Kerberos  

  Протокол промышленного стандарта, создаваемый Массачусетским технологическим институтом (MIT) для обеспечения аутентификации по сети.



• цепочка для ключей  

  База данных, используемая в OS X для хранения зашифрованных паролей, закрытых ключей и других секретов. Это также используется для хранения сертификатов и другой несекретной информации, использующейся в криптографии и аутентификации.



• Утилита Keychain Access  

  Приложение, которое может использоваться для управления данными в цепочке для ключей.



• Keychain Services  

  Общедоступный API, который может использоваться для управления данными в цепочке для ключей.



• уровень доверия  

  Уверенность пользователь может иметь в законности сертификата. Уровень доверия для сертификата используется вместе с доверительной политикой ответить на вопрос, “Я должен доверять этому сертификату для этого действия?”



• неотказ  

  Процесс или метод, лишающий возможности пользователя отрицать выполнять работу (такую как использование определенного номера кредитной карты).



• Откройте Directory  

  Сервер каталогов, предоставленный OS X для безопасного хранения паролей и аутентификации пользователя.



• полномочия  

  Посмотрите полномочия.



• фишинг  

  Социальная техника, в которой электронная почта или веб-страница, имитирующая один от законного бизнеса, используются для обманывания пользователя в предоставление персональных данных и секретов (таких как пароли) кому-то, у кого есть злонамеренное намерение.



• база данных правил управления  

  База данных, содержащая ряд правил использование Сервера безопасности для определения авторизацию.



• привилегированная работа  

  Работа, требующая специальных прав или полномочий.



• полномочия  

  Тип доступа к файлу или каталогу (чтение, запишите, выполните, пересеките, и т.д), предоставленный пользователю или группе.



• состояние состязания  

  Возникновение двух событий из последовательности.



• корневой набор  

  Вредоносный код, который, путем выполнения в ядре, может не только принять управление системы, но может также покрыть все доказательство ее собственного существования.



• полномочия пользователя root  

  Наличие неограниченного разрешения выполнить любую работу в системе.



• деточка сценария  

  Кто-то, кто использует опубликованный код (сценарии) для атаки программного обеспечения и компьютерных систем.



• сигнал  

  Сообщение отправило от одного процесса до другого в основанной на UNIX операционной системе (такой как OS X)



• социальная разработка  

  В применении к безопасности, обманывая пользователя в отказ от секретов или в предоставление доступа к компьютеру атакующему.



• смарт-карта  

  Пластиковая карта, подобная в размере на кредитную карту, имеющую память и микропроцессор, встроенный в него. Смарт-карта может сохранить и обработать информацию, включая пароли, сертификаты и ключи.



• штабель  

  Область памяти, зарезервированной для использования определенной программой и привыкшей к потоку управляющей программы. Данные помещены на штабель и удалены в в обратном порядке вид. Штабель становится нисходящим (к более низким адресам памяти). Соответствуйте «куче».



• переполнение стека  

  Переполнение буфера на штабеле.



• время разового проверкой из использования (TOCTOU)  

  Состояние состязания, в котором атакующий создает, пишет в или изменяет файл между временем, когда программа проверяет состояние файла и когда программа пишет в него.



• доверительная политика  

  Ряд правил, которые указывают надлежащее использование для сертификата, имеющего определенный уровень доверия. Например, доверительная политика для браузера могла бы утвердить, что, если сертификат истек, пользователю нужно предложить разрешение, прежде чем безопасный сеанс будет открыт с веб-сервером.



• уязвимость  

  Функция способа, которым программа была записана — или недостаток дизайна или ошибка — который позволяет хакеру или деточке сценария атаковать программу.