İşyerimde biraz tartışmıştım ve kimin doğru olduğunu ve yapılacak doğru şeyin ne olduğunu anlamaya çalışıyorum.
Bağlam: müşterilerimizin muhasebe ve diğer ERP işleri için kullandığı bir intranet web uygulaması.
Kullanıcıya sunulan bir hata mesajının (işler çökerken) yığın izlemesi de dahil olmak üzere mümkün olduğunca fazla bilgi içermesi gerektiği kanısındayım. Tabii ki, büyük, dostça bir harfle güzel bir "Hata oluştu, lütfen geliştiricilere aşağıdaki bilgileri gönderin" ile başlamalıdır.
Akıl yürütme, çökmüş uygulamanın ekran görüntüsünün çoğu zaman kolayca ulaşılabilen tek bilgi kaynağı olacağı yönündedir. Elbette, müşterinin sistem yöneticisini (yöneticilerini) tutmaya çalışabilir, günlük dosyalarınızın nerede olduğunu açıklamayı deneyebilirsiniz, ancak bu muhtemelen yavaş ve acı verici olacaktır (çoğunlukla müşteri temsilcilerine danışın).
Ayrıca, anında ve eksiksiz bir bilgiye sahip olmak, istisnada ihtiyacınız olanı bulmak için günlük dosyalarını araştırmak zorunda kalmayacağınız gelişimde son derece kullanışlıdır. (Ancak bu bir yapılandırma anahtarıyla çözülebilir.)
Ne yazık ki, bir tür "Güvenlik denetimi" olmuştur (kaynaklar olmadan nasıl yaptıkları hakkında hiçbir fikriniz yoktu ... ama her neyse) ve onları bir güvenlik tehdidi olarak nitelendiren istisna mesajlarından şikayetçi olmuşlardır. Doğal olarak, müşteriler (bildiğim en az bir tane) bunu gerçek değeri ile almış ve şimdi mesajların temizlenmesini talep ediyor.
Potansiyel bir saldırganın daha önce çözemediği bir şeyi bulmak için yığın izini nasıl kullanabileceğini göremiyorum. Hiç kimse var mı, bunu yapan herhangi birinin belgelenmiş bir kanıtı var mı? Bence bu aptalca fikirle savaşmalıyız, ama belki de aptalım, yani ...
Kim haklı?
Unfortunately there has been some kind of "Security audit"
" - Cidden mi? Bu ne biçim bir tutum? Güvenlik denetimleri sizin yararınıza - sistemlerinizi daha iyi hale getirmek, kötü adamlardan önce sorunları bulmak için. Gerçekten onlarla çalışmayı denemelisin, onlara karşı değil. Ayrıca, Bilgi Güvenliği'ndeki Güvenlik PoV'u hakkında daha fazla bilgi edinmeyi deneyebilirsiniz .