İşverenim yapmamı isterse güvensiz kod yazmayı kabul etmeli miyim? [kapalı]


24

İşverenim, şifreleri bir veritabanında açık metin olarak saklamayı gerektiren bir özellik (benden biraz daha iyi, aynı zamanda güvensiz olan bir ikili dosyada saklanan gizli bir şifreleme / şifre çözme işlevini kullanma) istememi istedi.

Müşterilerin, kullandıkları zaman güvenlik etkilerini kabul etmesi koşuluyla, böyle bir özelliği uygulamaya istekli olduğumu söyledim.

Bu problemi meslektaşlarınızla tartışırken, birileri bana yazılım mühendisi olarak ürünlerimizde ortaya koyduğumuz güvenlik problemlerinden kişisel olarak sorumlu olduğumuzu söyledi. Sözleşmeme baktım ancak benzer bir dava ile ilgili hiçbir şey bulamadım.

Yasal açıdan, böyle bir özelliği uygulamayı reddetmeli miyim? Bir müşteri bu özellik nedeniyle hasar görürse, güvenlik endişelerinden haberdar olsa bile işverenimin beni mahkemeye götürebileceği doğru mu?


EDIT: Bu sorunun ancak bir avukattan güvenilir bir şekilde cevaplanabileceğini biliyorum. Aynısı, soruları lisanslamak için de geçerlidir: Buradaki insanlar, bazen bir avukata danıştıktan sonra, başka bir yargı alanında uygulanacağını garanti etmeden anlayış ve tecrübelerini verirler. Ancak lisanslama burada açıkça bir konu olarak kabul edilir, bkz. Burada ne tür sorular sorabilirim? . Diğer programcıların da aynı sorunu yaşayabileceğini ve diğerlerinin daha önce bu duruma karşı karşıya geldiğini ve bunun için bir avukata danışabileceğini düşünüyorum.


2
Bir avukatla görüşmelisin - burası cevap almak için doğru yer değil.
Oded

11
IANAL, ancak bir işverenin, bir çalışanı, tam olarak ne yapması gerektiğini yaptıkları için başarılı bir şekilde dava açabileceği görülüyor.

3
@Oded: müşteri şirketi dava edebilir, evet ve şirket hala haksız yere çalışanı ("istediği" yargılamada) suçlayabilir ve kovabilir, ancak müşterilerin bireysel programcılara dava açabileceklerini hiç duymamıştım. Şirket böylece üründe kalite sorunları sorumludur şirket, satış, değil çalışanın sözleşmesinin giren tüzel olduğunu.

8
Müşterilerinizin çözümlerinizdeki güvenini, parolaları düz metin olarak saklamaktan daha düşük ne olabilir ?! Saçmalık. Patronunuz sizden kendi mezarını kazmanızı isteyecekse, bunu yapın, ancak anlaşmazlığınızı bildirdiğiniz ve olası sonuçları konusunda sizi uyardığınız ve ayrıca sizi sipariş etmesi konusunda uyardığınızdan, e-postayla yazdığınızdan emin olun. Yine de yap. Bu yazışmayı her zaman yanınızda bulundurun.
maple_shaft

3
Bu soruyu konu dışı olarak kapatmak için oy kullanıyorum çünkü sadece bir avukat tarafından doğru bir şekilde cevaplanabilen yasal bir soru.

Yanıtlar:


11

Meslektaşınız, özellikle sözleşmenizde güvenlik sorumluluğu konusunda bir şey bulamadığınız için yanlış yönlendiriliyor. Olsa bile, yönetimden çelişen bir sipariş aldınız.

Kendini potansiyel davaya maruz bırakmanın tek zamanı, bilerek kendine zarar verirsen, kendi saatli bombanı, paskalya yumurtasını vb. Yaratmandır.

Çoğu durumda, şirket yazılıma sahip olur, bu yüzden kârın tadını çıkarırlar, ancak bireysel geliştirici yerine riskleri de üstlenirler.

Şahsen, yönetimin bu güvenlik özelliği ile ilgili sorunların farkında olduğundan emin olurdum, böylece önceden belgelenirdi ve işimi yapmaya devam ediyordum.

Olduğu söyleniyor, bir avukata danışın, yada-yada-yada.


34

Ne olursa olsun: İşvereninizin talimatlarını henüz uyguladığınızı açıkça gösteren bir e-posta veya başka bir kanıt olmadan asla böyle bir kod yazmayın.


6
Ve yazdırın / dış hesaba gönderin.
Bill Leeper

7
CYA (Bilinenleri A ..) olarak bilinir. Bir keresinde, sakıncalı talimatın bir kopyasını kişisel e-posta hesabıma gönderdim ve bunu şirketlerin yasal bölümüne gönderdim (Etik ekibimiz vardı, bu yüzden gizliydi). Bu, ne kadar ısı almaya hazır olduğunuza ve ne kadar “korumaya” ihtiyacınız olduğuna bağlıdır. Düşünmeye değer diğerleri Pazarlama, Yönetim Kurulu (sorumlu nihai), Sahip / hissedarlardır. "Kaybedecek en çok kim var?" Çok fazla önemli insanın zamanını boşa harcadığınız ya da patronunuzun kötü görünmesini sağladığınız için kariyer sınırlaması olacaktır.
mattnz

+1 - arkanı kolla. İtirazlarını ve nedenini, bunun kötü olduğunu düşündüğünüzü belgeleyin. Yöneticilerinizin yanıtını belgeleyin. Bunu yazdırın ve ısının size geri dönmesi ihtimaline karşı dikkatle dosyalayın.
Qwerky

SYA ama pasif olmayın bu konuda saldırgan. GERİ itirazlarınızı işvereninize bildirdiğinizden ve bu e-postayı da kaydettiğinizden emin olun.
Doug T.

Sade ve basit - Bu cevabı seviyorum. Bu kesinlikle yasal olarak sorumluluğa yardımcı olacaktır, ancak yine de etik kararı kendiniz vermeniz gerekecektir.
stringo0

6

Yasal açıdan, bir avukata danışın. Ben bir değilim, ne yaşadığınızı veya bazı şeyleri açıklamaya yardımcı olabilecek yasaların ne olduğuna dair hiçbir fikrimiz yok. Ancak her durumda bir avukata danışın, kişisel, profesyonel ve finansal geleceğinizle birlikte bir Internet soru-cevap sitesine güvenir misiniz?

Genel iş önerileri, güvenlik endişelerini yazılı olarak bildirmek için rezervasyonlarınızı yazılı olarak almanızı ve işvereninizin doğrudan siparişini almanızı sağlar. İşler güneye gider ve fana vurursa, tekrar düşmek zorunda kalırsın.

Bunun bir başka yolu da gereksinimlere daha derinlemesine bakmak olacaktır - çözdüğünüz sorunu değil, planı paylaştınız. Bir kediyi kaplamanın veya şifre arama gereksinimlerini ele almanın birden fazla yolu vardır.


3

Endişelenmeyeceğim - güvensiz bir özelliği kullanmak ve daha sonra kendinizden yararlanmak için ya da sadece ihmal ettiğiniz için onu yerleştirmek için kötü niyetli bir şekilde karar vermenize benzemiyor. Şirket bunu istiyor, birisi geliştirme süresi ile kullanıcı beklentileri arasındaki değiş tokuşun kabul edilebilir olduğuna karar verdi (her zamanki gibi) ve bu yüzden buna devam etmeniz gerekiyor. Geri dönüşler konusunda gerçekten endişeleniyorsanız, patronunuza bir e-posta gönderin ve yanıtınızı saklayın. Bunu bir kez yaptıysanız, bir çalışan olarak, haklısınız.

Bazen bunun kabul edilebilir olmasının nedenleri olabilir - örneğin, düz metin şifrelerini saklayan çok önemli bazı kritik çözümleri biliyorum, ancak sistemin geri kalanı güvenli hale gelsin diye güvence altına aldım. Bu sistem örneğin ayrı bir ağda. Hikayenin geri kalanını bilmiyorsanız (çoğu şirkette ortak bir durum), başka birinin bunu düşündüğünü makul bir şekilde bekleyebilirsiniz. Benzer şekilde, patronunuzdan bu e-postayı alırsanız, ne yaptığını bilmesini bekleyebilirsiniz.

Bu arada ... bu (tüketici olarak) kullanabileceğim bir ürün mü? Öyleyse .. nedir, yani kaçınabildim mi? :)


1

Canlı operasyonlar sırasında müşterilere zarar veren geliştiriciler tarafından eşit derecede büyük bir varlığa birçok böcek eklendiğinin farkında mıyız. Onların kasıtlı olduğunu düşünmüyoruz, ancak bu hala somut işlerimizin bir sonucudur ve hala işarete göre değil. Dolayısıyla, yaptığınız örnek, geliştiricinin (veya daha yüksek kararların) kararlarının müşteriyi etkilediği, izole edilmiş bir durum değildir.

İşte önerdiğim şey:

  1. Öncelikle, elbette - yazılımı diğer şirkete teslim eden şirkettir. Bireye doğrudan kredi (takım içinde alkış ve maaş çekimi dışında) ve işin mülkiyeti verilmez. Yani bu, teslimatımızın bir parçası olarak iyi bir şey olmasa da, burada suçlu değilsiniz - karar size ait olmadığı sürece.

  2. Profesyonel bir programcı olarak, README dosyasının veya ilgili belgelerin bir parçası olarak işlerin nasıl yapıldığına ilişkin kod ve tehlikelerin sınırlarını açıkça belirtirsiniz. Bir gereklilik belgesi varsa - önerilen test raporu vb. Sınırlamaları açıkça belirtmelidir.

  3. Doğru karar vericiyi sorumlu tutmak için, bu tür belgelerin e-postalarındaki düşüncelerini teyit etmelerini rica ederim.

  4. Riski doğru tartın. Veri kartı yazılımım şifreyi plan metninde saklıyor ancak bu önemli değil. Ancak, banka şifresini saklıyorsam veya veritabanına veya sunucusuna erişiyorsam, bu kabul edilemez. Bu yüzden gerçek riske dayanarak, sorunu olabildiğince arttırmak için arttırmalısınız.


1

İşinizi kasıtlı olarak zedeleyen bir şekilde yerine getirmediğiniz sürece, sizden istenen görevleri yapmanın çok az yasal yönü vardır. Yükümlülüğünüzü belirten bir iş sözleşmeniz olacak, teknik konular hakkında bir avukata danışabilirsiniz. Kendini gerçekten ifşa ediyorsan, düz metin şifrelerindeki tasarım kararının yazılı onayını al.

Bu özelliğin son sürümde bunu yaptığından emin olana kadar hangi yazılımı kullandığını açıklamayacağım. Hala müşterileri kabul edilebilecek şekilde bilgilendirmeyi umduğumuzu umuyorum.

Biraz daha endişelenmek, 'müşterileri bilgilendirmek' konusundaki teklifinizdir. Şirketlerinizin ayakta durması, itibarı vs.

Güvenlik deliklerinin sonuçlarından memnun değilseniz, özgeçmişinizi tazeleyin ve devam edin, ancak kararınız ve şirketiniz değilse, bunun neden “yasal olarak” sizi suçladığını göremiyorum. .


1
Cevabınız için teşekkürler. Yorumumda çok kötü ifade ettim. Bu karardan memnun olmazdım, ama bu beni şirkete veya kimseye kızdırmaz. Bir soru-cevap sitesinde bu kamuoyunu açmak kesinlikle kötü bir fikir olacaktır. Olumsuz reklamlar olurdu ve herkese yardım edebilmesi için çok az şans var.
Antoine

Havalandırmanız için böyle bir forum olması iyi bir şey - umarım her şey iyi sonuçlanır.
amelvin

1

Şirketiniz , sizi çalıştırırken bir tür profesyonel tazminat sigortası yaptırmış olmalı . Bu gerektiğini durumunda tüm çalışanlarına yeterli yasal koruma sağlamak şey (örneğin şifresiz parolalar gibi) yazılımında bulunan varlık yazılım veya kusurları yazılım veya kötüye ile yanlış gidiyor.

Bir çalışan olarak sizden istediklerini yapmalısınız ve müşterinin istediğini yapması gerekiyordu, hiçbir taraf yasaları ihlal ettiği sürece, sorun yok, ancak şirketin istediğini yaparsanız, o zaman müşterinin istediği / istediği gibi olmadığı, aralarında olduğu ve profesyonel tazminat sigortasının sizi herhangi bir kişisel suçlama / sorumluluktan karşılaması gerektiği tespit edilmiştir.

IANAL, ancak bunu kendi avukatlarınızla kontrol etmenin yanı sıra şirketlerin hukuk ekibiyle de hallederim.

PS, bundan ciddi olarak korktuysanız, ilgili tüm e-postaları mümkünse elektronik ortamda basılı ve elektronik ortamda basılı bir yere kaydedin.


1

Yeni bir iş zamanı. Bunu uygulamayı unut. Hareket zamanı. Bu konuda çok cesaretli ve aldatıcı olmaya istekli olurlarsa, sizi otobüsün altına atmaktan da korkmazlar.

Ayrıca, isimsiz olarak, insanların yazılımlarındaki güvenlik açıklarına işaret eden birçok gruptan birine başvurduğunuzda korkmayın. Bu gerçekleşmeyi bekleyen bir felaket. Bunları saklamak için kesinlikle hiçbir sebep yoktur. Patronun sana bir sebep verdi mi? Kullanıcılar olarak giriş yapmak istiyorlar mı? Şifreleri almayı kolaylaştırmak mı istiyorlar? Yukarıdakilerden birine daha güvenli bir şekilde hitap edebileceğiniz bir cevap alamazsanız, devam etme zamanı. Gittiğinde, onlara nedenini söylememek en iyisi olur.


Google’ın bile şifreleri düz metin olarak sakladığının farkında mısın? Bir sitenin yöneticisi iseniz, hesapların şifrelerini görebilirsiniz.
apscience

1
Ben öyle düşünmüyorum. Şifreleri saklamıyorsun. Tersine çevrilemeyen ve saklayamayacağınız tek bir yol yapıyorsunuz. Bunu yapmanın standart yolu budur. Hesapların tehlikeye atıldığı son hack'ler bile böyle yaptı. Buradaki asıl mesele, eğer birisi hash alırsa ve nasıl üretildiğini bilirse, sözlükle vururlar. Fakat HAYIR HAYIR HAYIR, hiçbir zaman, asla, asla, asla şifreleri bile şifreli olarak saklama. Sadece bununla sorun istiyordum. Daha fazla bilmek istiyorum. Buraya gidin: owasp.org/index.php/Main_Page
Bill Leeper

Google’ın yaptığından eminim. Uygulama yöneticisi iseniz, tüm kullanıcı şifrelerinize bakabilirsiniz. Google.com/support/forum/p/Google%20Apps/… , # 4 numaralı cevaba bakın .
apscience

1
RTFA. Üzgünüz, kullanıcı olarak giriş yapabileceğinizi söylüyor. Bu, belirli yetkilere sahip bir kullanıcının başka bir kullanıcıyı taklit edebileceği bir yöntemdir. Hiçbir noktada google size diğer kişinin şifresini vermez. Kendi kimlik bilgilerinizle giriş yapıyor ve diğer kullanıcıyı taklit ediyorsunuz. Bu oldukça yaygındır ve patronumun belirli bir kullanıcı olarak giriş yapmak isteyebileceği orijinal yorumuma bir çözümdür.
Bill Leeper

0

Programa tam erişime sahipseniz, asimetrik şifreleme kullanıyorsanız, şifrelerin geri alınabilir bir formatta saklanması için yönergeleri takip etmek için ne yapabilirsiniz?

(her zamanki gibi tuzlanmış) anahtarını ikili dosyada kayıtlı ortak anahtarla şifreliyorsanız

ve şifreler düz metin olarak gerektiğinde, bir insan aksi halde sunucudan uzak tutulan özel anahtarı sağlamaya ihtiyaç duyar


Talebin nedenine bağlı olarak, bu OP'lerin üstünlüklerini yerine getirmek için yakın bir yere gelmeyebilir.
CVn

0

Şahsen, üzerinde çalıştıkları ürünlerdeki güvenlik sorunlarından yasal olarak sorumlu tutulduğumu, sözleşmedeki ya da diğer resmi sözleşmelere uymayan bir yazılım mühendisini hiç duymadım. Yazılım mühendisliğindeki yasalar ve etik hakkında okuduklarımdan, bir sistemin güvenlik gereksinimleri, aynı zamanda herhangi bir yasal, endüstri veya kurumsal gereksinime de atıfta bulunan gereksinim spesifikasyonuna göre belirlenir. Bir sistem oluştururken, güvenlik gerekliliklerini yerine getirmeme, sistem belirtilen şekilde inşa edilmediğinden sözleşme şartlarının yerine getirilmemesi olarak değerlendirilir. Özel olayların nasıl ortaya çıkacağı, mühendis ile işveren ve işveren ve müşteri arasındaki sözleşmelere bağlıdır.

Yasalar ayrıca size ne yapmanız gerektiğini değil neler yapabileceğinizi / yapamayacağınızı da söylemez. Hangi sektörde olduğunuzdan bahsetmiyorsunuz, ancak bazılarında belirli veri türleriyle nasıl başa çıkılacağına ilişkin yasalar, düzenlemeler ve kurallar var - şifrelenecek olanlar, minimum şifreleme düzeyleri, erişimi yönetme / kontrol etme gereklilikleri, ve diğerleri. Bölgenizde (ülke, eyalet) güvenlikle ilgili kurallar yoksa, endüstrinizde güvenlikle ilgili kurallar yoktur ve yazılım gereksinimleri güvenlik gereksinimlerini veya standartlarını gerektirmiyorsa, bu bir etik sorundan daha fazlası olabilir. yasal mesele.

Yazılım geliştirmede etik meseleler söz konusu olduğunda, Yazılım Mühendisliği Etik ve Mesleki Uygulama Kuralları'na abone oluyorum . Sonunda, bu senin çağrın. Ancak, şifreleri düz metin veya şifresi çözülebilen bir biçimde saklamanın etik dışı olduğunu düşünüyorum.


-3

Projenizin gelişim sürecine uymanız yeterli: eğer bu özellik gereksinim belgesinde yazılmışsa, onu uygulayacaksınız.


Sadece emirlere uyuyorum efendim. Sanmıyorum Programcılar düşünmek, soru sormak ve yaratıcı olmak için işe alınırlar. Bu sektöre kötü bir isim veren ve kişisel bilgilerimizi tehlikeye atan kötü yazılım.
Bill Leeper

Cevabım tam tersi olduğunu gösteriyor: patronunuz gerekliliklerle çelişiyorsa, patronu güvenle atlayabilirsiniz. Açıklanacak davada, patronun emrinin şartlarda yazılı olduğunu kabul edeceğinden şüpheliyim.
mouviciel
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.