Bạn có bao giờ nên phát hành một cái gì đó mà bản thân bạn có thể hack?

Là người tạo ra một chương trình, có lẽ bạn đang ở một vị trí tốt hơn bất kỳ ai để nhận thức được các lỗ hổng bảo mật và các vụ hack tiềm năng. Nếu bạn biết về lỗ hổng trong hệ thống mà bạn đã viết, đó có phải là dấu hiệu tăng tính bảo mật PHẢI được thêm vào trước khi phát hành hay không, nên đánh giá theo từng trường hợp để xác định mức độ nghiêm trọng của khoảng cách bảo mật?

Tôi muốn nói rằng nó nên được thực hiện trên cơ sở từng trường hợp. Bạn là tác giả, bạn biết nhiều lỗ hổng. Một số lỗ hổng chỉ có thể được biết đến với bạn. Tất nhiên, điều đó có nghĩa là nếu bất kỳ câu hỏi nào trong số chúng bị khai thác, bạn có thể có một số câu hỏi khó trả lời, vì vậy có thể là một ý tưởng tốt để giảm các lỗ hổng này nếu có thể. Quan trọng hơn là nếu ai đó có thể dễ dàng hack nó như một hệ thống hộp đen.

Tôi đã có trải nghiệm đáng tiếc khi ở trong tình huống hai lần. Các doanh nghiệp trong cả hai trường hợp đã đưa ra các sản phẩm có vấn đề bảo mật nghiêm trọng với dữ liệu rất nhạy cảm.

Trong cả hai trường hợp, doanh nghiệp dường như không quan tâm, bất chấp những nỗ lực tốt nhất của tôi để khiến họ nhận thức được những rủi ro mà họ đang gặp phải.

Điều duy nhất bạn có thể làm là phản đối càng lớn * (và chuyên nghiệp) càng tốt, càng rõ ràng càng tốt về hậu quả tiềm tàng, và trong khi bạn đang làm tài liệu đó mọi thứ . In các email có liên quan của bạn thành PDF và giữ các tệp đó ở nhà, hoặc bcc địa chỉ email cá nhân của bạn, hoặc tuy nhiên bạn làm điều đó. Đây là giải pháp duy nhất khi có điều gì đó tồi tệ chắc chắn xảy ra.

Bạn sẽ hy vọng rằng ban quản lý sẽ tôn trọng bạn vì lời khuyên kỹ thuật của bạn và tính đến điều đó nhưng thật không may, bạn phải tôn trọng bất cứ ai là người ra quyết định vào cuối ngày. Quyết định kinh doanh xấu được thực hiện mỗi ngày.

Chỉnh sửa: jasonk đã đề cập "Xin hãy cẩn thận BCCing địa chỉ nhà của bạn", và tôi rất đồng ý. Xin vui lòng không vi phạm chính sách của công ty và có nguy cơ đưa lỗ hổng bảo mật ra ngoài nhiều hơn so với hiện tại.

Tôi sẽ tranh luận ngược lại - là người sáng tạo, bạn thường xuyên quá gần với mã để xem các lỗ hổng.

Nếu bạn biết hoặc được thông báo về các lỗ hổng, chúng giống như bất kỳ lỗi nào khác - đánh giá, ưu tiên, sau đó sửa chữa.

Tôi nghĩ rằng câu trả lời phụ thuộc vào mức độ thiệt hại sẽ xảy ra nếu hệ thống bị xâm nhập bởi một tin tặc độc hại. Rõ ràng một kỹ sư dân sự không thể phê duyệt thiết kế của một cây cầu không an toàn trong lương tâm tốt. Việc xây dựng một cây cầu như vậy có thể dẫn đến thương tích hoặc tử vong. Kỹ sư cũng cố tình làm điều này là bất hợp pháp, nhưng thực tế là các kỹ sư phần mềm (ít nhất là ở Hoa Kỳ) không bị ràng buộc về mặt pháp lý theo cách tương tự không loại bỏ trách nhiệm chuyên môn của họ đối với các hệ thống bị lỗi. Thật không may, công ty của bạn có thể không cần chữ ký của bạn để phát hành phần mềm.

Bạn không chỉ định bản chất chính xác của hệ thống bạn đang làm việc. Nếu nó liên quan đến hồ sơ y tế, ngân hàng, kiểm soát không lưu hoặc một số cơ sở hạ tầng thực sự quan trọng khác, tôi sẽ nói rằng bạn sẽ được chứng minh rõ ràng khi nhấn mạnh vào mức độ bảo mật cao nhất có thể trước khi phát hành.

Có, bạn NÊN sửa nó trước khi phát hành. Đừng bao giờ đánh giá thấp sự khéo léo của một hacker. Bạn sẽ đi nghỉ một tuần với cửa sau mở rộng? Lý do của bạn sẽ là,

"Ồ nó ở phía sau và nó không đối diện trực tiếp với đường phố. Không ai sẽ thấy nó treo rộng .."

Chắc là không.

Nhưng tôi thực sự hiểu những ngày này với Thủ tướng không biết làm thế nào ngày phát hành thiêng liêng nhất quan trọng hơn một vấn đề trách nhiệm rất lớn với an ninh. Nếu đây là trường hợp của bạn thì tôi khuyên bạn nên gọi nó để chú ý, ghi lại vấn đề, đảm bảo rằng nó được ghi chép rõ ràng, được biết đến và các rủi ro được giải thích rõ ràng và để Thủ tướng quyết định làm gì.

Nếu Thủ tướng đưa ra một quyết định tồi tệ và quyết định bỏ qua điều này và tiếp tục phát hành theo lịch trình thì bạn sẽ được miễn trách nhiệm kể từ khi bạn thổi còi.

Mặt khác, nếu bạn tìm thấy điều này và giữ nó cho riêng mình và điều gì đó xảy ra thì BẠN có thể phải chịu trách nhiệm cá nhân về hậu quả.

Sự lựa chọn là của bạn.