
<div dir="ltr">Hello,<div><br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

I finally came around to watching evacide's talk "The Internet (Doesn't) need another security guide" [1]<br>

where she mentions our small project in minute ~ 18 or 19 [2] (Yay! Thanks). Spoiler alert: Eva actually says that we need more (targeted, good, correct and well defined) guides for sure.<br></blockquote><div><br></div><div>


That's great!! :-D</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

1. Eva mentioned that <a href="http://bettercrypto.org" target="_blank">bettercrypto.org</a> could use a section on how to convince your boss that the company needs hardened Crypto settings and that the sysadmins should invest time into that. Do you agree with that point of view?<br>


Should we add such a section?<br></blockquote><div><br></div><div>Yes, definitively.  Maybe as an appendix / side document / something on the website?</div><div>In my experience, some management level doesn't care about those technical stuff.  They saw the cost not necessary associated risks (of not using ;)).</div>


<div><br></div><div>So having a good (really short!) paragraph that could serve to convince your boss that crypto is really useful and why it worth to put some time and effort to correctly use it.</div><div><br></div><div>


 </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

2. Threat modelling: Eva mentioned that most guides first focus on a threat model. We don't really do that so much in ours.<br>

Are we missing something here?<br></blockquote><div><br></div><div>I think that it's not our case.  We limit ourself to really practical settings and good algo (theory section).  The document is not doing any emphasis risks, threads, attacks... I would even say that this document is not trying to afraid anybody, just help admin to use crypto :-D.</div>


<div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

3. Understanding your target audience: it seems we have been doing something right, because we first focused on our clearly defined target audience. However, I think we need to improve even more in this field: we should hand this guide to multiple sysadmins and let them test the guide and collect as much feedback as possible.<br>


</blockquote><div><br></div><div>Yes!!</div><div><br></div><div>Kr,</div><div><br></div><div>David</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

So much for my thoughts after watching this talk.<br>

Hope my thoughts helped or at least inspired you :)<br>

<br>

a.<br>

<br>

<br>

[1] <a href="https://www.youtube.com/watch?v=VHgs3YcxzXw" target="_blank">https://www.youtube.com/watch?v=VHgs3YcxzXw</a><br>

[2] <a href="https://www.youtube.com/watch?v=VHgs3YcxzXw&t=18m0s" target="_blank">https://www.youtube.com/watch?v=VHgs3YcxzXw&t=18m0s</a><br>

<br>

<br>

---<br>

// L. Aaron Kaplan <<a href="mailto:kaplan@cert.at">kaplan@cert.at</a>> - T: <a href="tel:%2B43%201%205056416%2078" value="+431505641678">+43 1 5056416 78</a><br>

// CERT Austria - <a href="http://www.cert.at/" target="_blank">http://www.cert.at/</a><br>

// Eine Initiative der <a href="http://nic.at" target="_blank">nic.at</a> GmbH - <a href="http://www.nic.at/" target="_blank">http://www.nic.at/</a><br>

// Firmenbuchnummer 172568b, LG Salzburg<br>

<br>

<br>

<br>

<br>

<br>_______________________________________________<br>

Ach mailing list<br>

<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>

<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>David DURVAUX

</div></div>