Ich habe ein bisschen Streit an meinem Arbeitsplatz und ich versuche herauszufinden, wer Recht hat und was das Richtige ist.
Kontext: Eine Intranet-Webanwendung, die unsere Kunden für das Rechnungswesen und andere ERP-Aufgaben verwenden.
Ich bin der Meinung, dass eine Fehlermeldung, die dem Benutzer angezeigt wird (wenn Dinge abstürzen), so viele Informationen wie möglich enthalten sollte, einschließlich des Stack-Trace. Natürlich muss es mit einem netten "Ein Fehler ist aufgetreten, bitte senden Sie die folgenden Informationen an die Entwickler" in großen, freundlichen Buchstaben beginnen.
Meiner Meinung nach ist ein Screenshot der abgestürzten Anwendung häufig die einzige leicht verfügbare Informationsquelle. Sicher, Sie können versuchen, die Systemadministratoren des Clients zu erreichen, zu erklären, wo sich Ihre Protokolldateien befinden, usw., aber das wird wahrscheinlich langsam und schmerzhaft sein (dies geschieht meistens, wenn Sie mit den Kundenvertretern sprechen).
Eine sofortige und vollständige Information ist auch für die Entwicklung von großem Nutzen, da Sie nicht die Protokolldateien durchsuchen müssen, um bei jeder Ausnahme das zu finden, was Sie benötigen. (Aber das könnte mit einem Konfigurationsschalter gelöst werden.)
Leider gab es eine Art "Sicherheitsprüfung" (keine Ahnung, wie sie das ohne die Quellen gemacht haben ... aber was auch immer) und sie beklagten sich über die vollständigen Ausnahmemeldungen, in denen sie als Sicherheitsbedrohung angeführt wurden. Natürlich haben die Clients (von denen mindestens einer bekannt ist) dies zum Nennwert angenommen und fordern nun, dass die Nachrichten bereinigt werden.
Ich verstehe nicht, wie ein potenzieller Angreifer mithilfe eines Stack-Traces herausfinden kann, was er zuvor nicht herausgefunden hat. Gibt es Beispiele, einen dokumentierten Beweis dafür, dass jemand das jemals getan hat? Ich denke, wir sollten diese dumme Idee bekämpfen, aber vielleicht bin ich hier der Dummkopf, also ...
Wer hat recht
Unfortunately there has been some kind of "Security audit"
" - Ernst? Was ist das für eine Einstellung? Die Sicherheitsüberprüfungen sind zu Ihrem Vorteil - um Ihre Systeme zu verbessern und Probleme zu finden, bevor die Bösen es tun. Sie sollten sich wirklich überlegen, mit ihnen zu arbeiten, nicht gegen sie. Auch könnten Sie versuchen, mehr Informationen über die Sicherheit PoV über bekommen Informationssicherheit .