参考:http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/。これらのバグが、実稼働環境と同じ環境のステージングサーバーで適切にテストされた場合、どのようにしてこのバグが発生するのかを誰かに説明することはできますか?私はそれが誰にも起こりうるランダムなミスであるのか、それともそれがちょうど過失であるのかを理解しようとしています。任意の入力を事前にThx!質問:Dropboxセキュリティ違反とこれがプロダクション環境でどうなるか
答えて
テスト中に誰かに起こる可能性があります。結局のところ、数秒間非常に安全なDropboxシステムをテストした後、空白のパスワードをテストする必要はないと思われますが、開発チームの一部。あなたがそれについて考えるとき、そのような欠陥が意図的でない可能性があります(開発者が試してみたいと思っていて、パスワードを入力し続ける必要はありません - わかりません)。何らかの形で注射から守っていないとしても、空白のパスワードは決して一致しませんでした。
私はDropbox開発チームではないので、正確に何が起こったのか分かりません。あなたができることは、推測だけです。私はおそらくこれについて完全に間違っているかもしれませんし、多分簡単に見過ごされるような小さな技術的な問題でした。知りません。
thx少なくとも、バグをチェックするテストスイートを持っているべきではありませんか?私は、Dropboxのような会社がこのようなことをどうやって許してくれるのか、本当に理解していません。 – blacktie24
@ blacktie24:彼らはおそらく - 私は実際に彼らがいるかどうかはわかりません。それはちょうどそのような明白なバグです、多分彼らはそれを見落としました。 – Ryan
誰かが実際に自分が何をしているのかわからなくても、コードを混乱させるかもしれません。上級マネージャー: "まあ、私はこの写真を挿入する必要があります、私は10歳の息子がいくつかのHTMLを知っていると思う、私はプログラマーを気にするべきではない" – fingerman
テストフェーズがどれほど広範囲に及ぶかは、しばしば、製品が顧客によく見えるかどうか、または特定の期限までに出ているかどうかを確認する予算が過ぎるまでです。
初めからセキュリティテストを構築している企業を見つけることは非常にまれで、ゴーラーに必要とされるとおりです。セキュリティ予算は、予算や時間が過ぎると、ほとんどの場合、最初に削減されます。
私の推測では、主要な機能テストと「最高のリスク」のセキュリティテストに合うのに十分な時間があり、それがリリースされたということです。
確かに空のパスワードは '最高のリスク'もっと悪いです – JoshB
しかし、変更がパスワードに触れていない(つまり、コードが変更されていて、事故だった)場合、このリスクはリストに表示されないかもしれません –
このバグをキャッチするのは非常に簡単です。それはDropboxと同じくらい大きな会社がどのようにセキュリティを重要視しているのか、どんな回帰テストも実施していないということについて私を困惑させるだけです。 – blacktie24
- 1. サンドボックスvsプロダクション環境
- 2. Tornado Webプロダクション環境
- 3. テスト環境とプロダクション環境を設定する
- 4. Web.configプロダクション環境のパフォーマンス - ベストプラクティス
- 5. シームレスにプロダクションに移行するApache環境の開発環境
- 6. プロダクション環境でのログ/トレース対象
- 7. java:プロダクション環境でのprintStackTraceの使用
- 8. Windowsフォームアプリケーションがプロダクション環境で子フォームを閉じないActiveXコントロール
- 9. プロダクション環境でのSignalR彗星はそれに値するでしょうか?
- 10. プロダクション環境で - > findBy()でエラーが発生するのはなぜですか?
- 11. プロダクション環境に異なる文書を保存するにはどうすればよいですか?
- 12. プロダクション環境 - http 500エラーページ - no stacktrace please
- 13. カスタムフォームのセキュリティに関する質問はどうですか?
- 14. プロダクション環境ですべてのアプリケーション例外とPHPエラーをキャッチ
- 15. Railsのプロダクション環境が周期的に破損する
- 16. PhingとSVNを使用したプロダクションと開発環境
- 17. Visual C++環境と* nix環境の相違のコンパイル
- 18. 共有環境設定android基本的な質問
- 19. AJAXとasp.netセキュリティの質問
- 20. ubuntuのJavaと環境変数に関する簡単な質問
- 21. railsプロダクション環境でサーバー側のキャッシュを無効にする
- 22. herokuでプロダクション環境変数を設定する方法は?
- 23. iphone - ゲームセンターサンドボックスとプロダクション環境の切り替え
- 24. 複数のデプロイメント環境(プロダクション/ステージング/ etc)とFacebookアプリケーション
- 25. 私のcomposer.jsonファイルはプロダクション環境でどのように見えるのですか?
- 26. グラフィカルシェルとデスクトップ環境の違い
- 27. MSVC++デバッグとリリース環境の相違点
- 28. ThorをRailsプロダクション環境で実行しています
- 29. Railsの開発環境と本番環境の重要な違いは何ですか?
- 30. Java | Maven - プラグイン|プロダクション環境でcargo mavenプラグインを使用することをお勧めしますか?
security.stackexchange.comでは、ここよりも多くのトピックが掲載されています。移行を提案してください。 –
@Rory Alsop、申し訳ありませんが、私は常にスタックオーバーフローしているので、それはちょうど習慣であった。うまくいけばモッドは私のためにそれを動かすことができます。 @downvoter、なぜdownvote?それはちょうど質問です。 – blacktie24
Downvoteは私ではありませんでした - 私はそれは良い質問です、ちょうど別のSEサイトのために:-) –