मुझे अपने कार्यस्थल पर थोड़ा सा तर्क मिला है और मैं यह पता लगाने की कोशिश कर रहा हूं कि कौन सही है, और क्या करना सही है।
संदर्भ: एक इंट्रानेट वेब अनुप्रयोग जो हमारे ग्राहक लेखांकन और अन्य ईआरपी सामान के लिए उपयोग करते हैं।
मेरी राय है कि उपयोगकर्ता को एक त्रुटि संदेश (जब चीजें दुर्घटनाग्रस्त होती हैं) में स्टैक ट्रेस सहित यथासंभव अधिक जानकारी शामिल होनी चाहिए। बेशक, इसे एक अच्छी शुरुआत के साथ शुरू करना होगा "एक त्रुटि हुई है, कृपया बड़े, मैत्रीपूर्ण पत्रों में नीचे दी गई जानकारी डेवलपर्स को सबमिट करें"।
मेरा तर्क यह है कि दुर्घटनाग्रस्त एप्लिकेशन का स्क्रीनशॉट अक्सर जानकारी का एकमात्र आसानी से उपलब्ध स्रोत होगा। ज़रूर, आप क्लाइंट के सिस्टम एडमिनिस्ट्रेटर (एस) की पकड़ पाने की कोशिश कर सकते हैं, यह समझाने की कोशिश कर सकते हैं कि आपकी लॉग फाइलें कहां हैं, आदि, लेकिन यह शायद धीमा और दर्दनाक होगा (क्लाइंट के प्रतिनिधियों से बात करना ज्यादातर होता है)।
इसके अलावा, एक तत्काल और पूरी जानकारी होना विकास में बेहद उपयोगी है, जहाँ आपको हर अपवाद के लिए आवश्यक चीजों को खोजने के लिए लॉग फ़ाइलों के माध्यम से शिकार करने की आवश्यकता नहीं है। (लेकिन यह एक विन्यास स्विच के साथ हल किया जा सकता है।)
दुर्भाग्यवश किसी तरह का "सिक्योरिटी ऑडिट" हुआ है (बिना किसी विचार के कि उन्होंने सूत्रों के बिना ऐसा कैसे किया ... लेकिन जो भी हो), और उन्होंने सुरक्षा अपवाद के रूप में उनका हवाला देते हुए पूर्ण अपवाद संदेशों की शिकायत की। स्वाभाविक रूप से, क्लाइंट (कम से कम एक जिसे मैं जानता हूं) ने इसे अंकित मूल्य पर लिया है और अब यह मांग करता है कि संदेशों को साफ किया जाए।
मैं यह देखने में विफल रहता हूं कि एक संभावित हमलावर कुछ भी पता लगाने के लिए एक स्टैक ट्रेस का उपयोग कैसे कर सकता है जो वह पहले पता नहीं लगा सका है। क्या ऐसा कोई उदाहरण है, किसी का भी कोई प्रलेखित प्रमाण कभी ऐसा कर रहा है? मुझे लगता है कि हमें इस मूर्खतापूर्ण विचार से लड़ना चाहिए, लेकिन शायद मैं यहां मूर्ख हूं, इसलिए ...
कौन सही है?
Unfortunately there has been some kind of "Security audit"
" - गंभीरता से? वह किस तरह का रवैया है? सुरक्षा ऑडिट आपके लाभ के लिए हैं - अपने सिस्टम को बेहतर बनाने के लिए, बुरे लोगों को करने से पहले समस्याओं का पता लगाने के लिए। आपको वास्तव में उनके साथ काम करने की कोशिश करने पर विचार करना चाहिए, उनके खिलाफ नहीं। इसके अलावा, आप सूचना सुरक्षा पर सुरक्षा PoV पर अधिक जानकारी प्राप्त करने का प्रयास कर सकते हैं ।