Haben vom Lehrer folgenden Ausschnitt bekommen:

Alles, was nicht ausdrücklich verboten ist, ist erlaubt.
- Need-To- Restrict

Alles, was nicht ausdrücklich erlaubt ist, ist verboten.
- Need-To- Know
Stimmt das so, oder is das genau anders rum? Der Lehrer weiss es selbst nimmer genau. :|

Need-To-Restrict hab ich noch nie gehört. Hast da mal ne Quelle für?

Ich kenne nur das Need-To-Know-Prinzip -> Zugriffsrechte sollten so minimiert werden, dass jeder Nutzer nur Zugriff auf die für ihn erforderlichen Funktionen, Daten und Netzwerkbereiche hat (bspw.). Allgemeiner: Jeder darf nur das, was für ihn von Relevanz ist.

Das heisst aber nicht zwingend, dass erstmal alles verboten ist und anschliessend stückweise erlaubt wird. Need-To-Know könnte man auch so umsetzen, dass generell alles erlaubt wird und dann nach und nach eingeschränkt wird.

Kann es sein, dass der Lehrer da verschiedene Sicherheitskonzepte in einen Topf schmeisst?! Die Sachen, die er meint kenne ich nur unter Blacklisting (alles erlaubt, dass was auf der Liste steht, ist verboten) und Whitelisting (alles verboten, das was auf der Liste steht, ist erlaubt)

Das sind schon ältere Unterlagen und nur Präsentationen..
Hab auch schon im wiki und google geguckt. Nix brauchbares. :rolleyes:
Need to restrict soll wohl das gegenstück zu know sein.
Wollte die Bezeichnungen bei einem Projekt als Variablennamen benutzen, entsprechend sollte es auch seine richtigkeit haben..

Ich hab nochmal kurz in meinen Vorlesungsunterlagen geblättert.

Need-To-Know-Prinzip: Sagt allgemein nur aus, dass jeder nur die Berechtigungen bekommt, die er auch wirklich benötigt.

Damit ist aber noch keine Aussage getroffen, WIE das erreicht wird. Das kann geschehen:

a) Blacklisting -> Alles ist erlaubt und bestimmte Bereiche werden gesperrt (durch die Blacklist)

ODER

b) Whitelisting -> Alles ist verboten und bestimmte Bereiche werden freigegeben.

Usus für das Need-To-Know-Prinzip dürfte Alternative b sein (weil praktikabel und logischer). Das aber pauschal so zu sagen ist aber nicht korrekt (zumindest nicht, wenn man es ganz hart an der Definition festmacht). Deswegen ist diese pauschale Aussage, die Du oben zitiert hast, so erstmal falsch bzw. nicht ganz treffend.

Vom Need-To-Restrict-Prinzip hab ich in meinen ganzen Semestern aber tatsächlich noch nie was gehört.

Schaue aber gerne morgen nochmal in meinen Büchern nach (geht gerade nicht, bin nicht zu Hause).