Soatok’s Informal Guide to Threat Models

A practical, opinionated guide to threat modeling aimed at developers who want to build security intuition without formal methodology overhead. Covers the essential questions a threat model must answer, the importance of stating assumptions explicitly, and how to spot incomplete threat models — using Matrix's sparse threat model as a negative example. Also explores how threat modeling applies to real-world scenarios: passkey adoption to defeat credential stuffing, E2EE design challenges in decentralized systems like ATProto vs ActivityPub, and the ongoing IETF debate over pure vs hybrid post-quantum KEMs (ML-KEM). Argues that threat modeling skills help developers cut through technical FUD and make better architectural decisions early.

Nguồn: https://soatok.blog/2026/06/30/soatoks-informal-guide-to-threat-models. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

Node.js30 Hot13 phút6 ngày trướcAI

Node.js — Node.js 24.18.0 (LTS)

Node.js 24.18.0 LTS (tên mã 'Krypton') bổ sung nhiều cải tiến quan trọng như cập nhật chứng chỉ gốc lên NSS 3.123.1, tối ưu hóa socket HTTP idle, tăng kích thước mặc định Buffer.poolSize lên 64 KiB, bổ sung thuật toán TurboSHAKE, KangarooTwelve cho Web Cryptography, hỗ trợ mã trạng thái HTTP 1xx tùy ý, và cải thiện bảo mật crypto (chống tấn công prototype pollution, tương thích BoringSSL, hỗ trợ ML-DSA/ML-KEM JWK). Ngoài ra, phiên bản này nâng cấp npm lên 11.16.0, SQLite lên 3.53.1 cùng nhiều sửa lỗi khác.

Lập trình viên nên đọc bài này vì phiên bản Node.js mới 24.18.0 LTS mang đến những cải tiến an toàn và hiệu năng quan trọng như hỗ trợ mã hóa WebCrypto mới, nâng cấp bảo mật và cải thiện trải nghiệm phát triển với các tính năng như kiểm soát chính xác độ phủ code và tối ưu hóa stream.