参考:http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/。これらのバグが、実稼働環境と同じ環境のステージングサーバーで適切にテストされた場合、どのようにしてこのバグが発生するのかを誰かに説明することはできますか?私はそれが誰にも起こりうるランダムなミスであるのか、それともそれがちょうど過失であるのかを理解しようとしています。任意の入力を事前にThx!質問:Dropboxセキュリティ違反とこれがプロダクション環境でどうなるか
テスト中に誰かに起こる可能性があります。結局のところ、数秒間非常に安全なDropboxシステムをテストした後、空白のパスワードをテストする必要はないと思われますが、開発チームの一部。あなたがそれについて考えるとき、そのような欠陥が意図的でない可能性があります(開発者が試してみたいと思っていて、パスワードを入力し続ける必要はありません - わかりません)。何らかの形で注射から守っていないとしても、空白のパスワードは決して一致しませんでした。
私はDropbox開発チームではないので、正確に何が起こったのか分かりません。あなたができることは、推測だけです。私はおそらくこれについて完全に間違っているかもしれませんし、多分簡単に見過ごされるような小さな技術的な問題でした。知りません。
thx少なくとも、バグをチェックするテストスイートを持っているべきではありませんか?私は、Dropboxのような会社がこのようなことをどうやって許してくれるのか、本当に理解していません。 – blacktie24
@ blacktie24:彼らはおそらく - 私は実際に彼らがいるかどうかはわかりません。それはちょうどそのような明白なバグです、多分彼らはそれを見落としました。 – Ryan
誰かが実際に自分が何をしているのかわからなくても、コードを混乱させるかもしれません。上級マネージャー: "まあ、私はこの写真を挿入する必要があります、私は10歳の息子がいくつかのHTMLを知っていると思う、私はプログラマーを気にするべきではない" – fingerman
テストフェーズがどれほど広範囲に及ぶかは、しばしば、製品が顧客によく見えるかどうか、または特定の期限までに出ているかどうかを確認する予算が過ぎるまでです。
初めからセキュリティテストを構築している企業を見つけることは非常にまれで、ゴーラーに必要とされるとおりです。セキュリティ予算は、予算や時間が過ぎると、ほとんどの場合、最初に削減されます。
私の推測では、主要な機能テストと「最高のリスク」のセキュリティテストに合うのに十分な時間があり、それがリリースされたということです。
確かに空のパスワードは '最高のリスク'もっと悪いです – JoshB
しかし、変更がパスワードに触れていない(つまり、コードが変更されていて、事故だった)場合、このリスクはリストに表示されないかもしれません –
このバグをキャッチするのは非常に簡単です。それはDropboxと同じくらい大きな会社がどのようにセキュリティを重要視しているのか、どんな回帰テストも実施していないということについて私を困惑させるだけです。 – blacktie24
security.stackexchange.comでは、ここよりも多くのトピックが掲載されています。移行を提案してください。 –
@Rory Alsop、申し訳ありませんが、私は常にスタックオーバーフローしているので、それはちょうど習慣であった。うまくいけばモッドは私のためにそれを動かすことができます。 @downvoter、なぜdownvote?それはちょうど質問です。 – blacktie24
Downvoteは私ではありませんでした - 私はそれは良い質問です、ちょうど別のSEサイトのために:-) –