나는 직장에서 약간의 논쟁을 겪었으며 누가 옳은지, 옳은 일을 알아 내려고 노력하고 있습니다.
컨텍스트 : 고객이 회계 및 기타 ERP에 사용하는 인트라넷 웹 응용 프로그램입니다.
사용자에게 표시되는 오류 메시지 (사고가 발생할 때)에는 스택 추적을 포함하여 가능한 많은 정보가 포함되어야한다고 생각합니다. 물론, "오류가 발생했습니다. 개발자에게 아래 정보를 제출하십시오"라는 큰 친절 편지로 시작해야합니다.
내 추론은 충돌 응용 프로그램의 스크린 샷이 종종 유일하게 쉽게 사용할 수있는 정보 소스가 될 것이라는 것입니다. 물론 클라이언트의 시스템 관리자를 확보하고 로그 파일의 위치 등을 설명하려고 시도 할 수 있지만 느리고 고통 스러울 수 있습니다 (클라이언트 담당자와 대화하는 것이 대부분).
또한 즉각적이고 완전한 정보를 얻는 것이 개발에 매우 유용합니다. 여기서 모든 예외에서 필요한 것을 찾기 위해 로그 파일을 탐색 할 필요가 없습니다. (그러나 구성 스위치로 해결할 수 있습니다.)
불행히도 일종의 "보안 감사"가 있었으며 (소스 없이는 어떻게했는지 알지 못했지만) 보안 위협으로 인용하는 전체 예외 메시지에 대해 불평했습니다. 당연히 클라이언트 (내가 아는 적어도 하나)는 이것을 액면가로 취했으며 이제는 메시지를 정리해야합니다.
잠재적 인 공격자가 스택 추적을 사용하여 이전에는 알아낼 수 없었던 것을 알아낼 수 없었습니다. 누군가 그 일을 한 증거 문서가 있습니까? 우리는이 어리석은 생각과 싸워야한다고 생각하지만 어쩌면 나는 여기 바보 일 것입니다.
누가 옳아?
Unfortunately there has been some kind of "Security audit"
"-정말요? 어떤 태도입니까? 보안 감사를위한 당신의 더 나은 시스템을 만들기 위해 나쁜 사람이 전에 문제를 찾아 - 혜택을 누릴 수 있습니다. 당신은 그들에게 대항하지 않고 그들과 함께 일하는 것을 고려해야합니다. 또한 Information Security 에서 보안 PoV에 대한 자세한 정보를 얻을 수 있습니다 .