Tôi đã có một chút tranh cãi tại nơi làm việc của mình và tôi đang cố gắng tìm ra ai đúng, và điều gì là đúng.
Bối cảnh: một ứng dụng web mạng nội bộ mà khách hàng của chúng tôi sử dụng cho kế toán và các công cụ ERP khác.
Tôi cho rằng một thông báo lỗi được trình bày cho người dùng (khi sự cố xảy ra) nên bao gồm càng nhiều thông tin càng tốt, bao gồm cả dấu vết ngăn xếp. Tất nhiên, nó phải bắt đầu bằng một "Lỗi đã xảy ra, vui lòng gửi thông tin bên dưới cho các nhà phát triển" bằng các chữ cái lớn, thân thiện.
Lý do của tôi là một ảnh chụp màn hình của ứng dụng bị sập thường sẽ là nguồn thông tin dễ dàng duy nhất có sẵn. Chắc chắn, bạn có thể cố gắng nắm giữ (các) quản trị viên hệ thống của khách hàng, cố gắng giải thích các tệp nhật ký của bạn ở đâu, v.v., nhưng điều đó có thể sẽ chậm và đau đớn (chủ yếu là nói chuyện với đại diện khách hàng).
Ngoài ra, có một thông tin tức thời và đầy đủ là cực kỳ hữu ích trong quá trình phát triển, nơi bạn không cần phải tìm kiếm các tệp nhật ký để tìm thấy những gì bạn cần trên mọi ngoại lệ. (Nhưng điều đó có thể được giải quyết bằng một công tắc cấu hình.)
Thật không may, đã có một số loại "Kiểm toán bảo mật" (không biết làm thế nào mà họ làm điều đó mà không có nguồn ... nhưng bất cứ điều gì), và họ phàn nàn về các thông điệp ngoại lệ đầy đủ trích dẫn chúng là mối đe dọa bảo mật. Đương nhiên, các khách hàng (ít nhất là một khách hàng mà tôi biết) đã thực hiện việc này theo mệnh giá và bây giờ yêu cầu các tin nhắn phải được làm sạch.
Tôi không thấy làm thế nào một kẻ tấn công tiềm năng có thể sử dụng dấu vết ngăn xếp để tìm ra bất cứ điều gì anh ta không thể tìm ra trước đây. Có bất kỳ ví dụ, bất kỳ bằng chứng tài liệu của bất cứ ai từng làm điều đó? Tôi nghĩ rằng chúng ta nên chiến đấu với ý tưởng ngu ngốc này, nhưng có lẽ tôi là kẻ ngốc ở đây, vì vậy ...
Ai đúng
Unfortunately there has been some kind of "Security audit"
" - Nghiêm túc chứ? Đó là loại thái độ nào? Kiểm toán bảo mật là vì lợi ích của bạn - để làm cho hệ thống của bạn tốt hơn, tìm ra các vấn đề trước khi kẻ xấu làm. Bạn nên thực sự xem xét việc cố gắng làm việc với họ, không chống lại họ. Ngoài ra, bạn có thể thử lấy thêm thông tin về PoV bảo mật tại Bảo mật thông tin .