首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉勾
V2EX  ›  职场话题

因为安全问题和同事产生了冲突,真是多管闲事。

  •  
  •   kulove · 51 天前 · 8366 次点击
    这是一个创建于 51 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。

    我说有漏洞,然后复现。

    他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??

    就问怎么解决,说黑名单过滤后缀。。

    最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。

    后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。

    只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。

    想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。

    对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。

    最后替用这个产品的用户捏把汗。

    121 回复  |  直到 2019-01-31 13:51:50 +08:00
    1  2  
        101
    iyaozhen   50 天前 via Android   ♥ 1
    如果公司没有安全意识,这个人也没有,最好还是不要和同事说这些。
    因为没在一个层面,他理解不了你说的。
    建议还是换个公司

    @tutusolo 比如这位,大家观念有差距,如果要共事就需要求同存异了。
    1. 安全这个事情还是要公司整体的政策,安全问题是最高优先级,限期修复
    2. 大公司安全问题也不都是安全组的事,具体写代码的还是一线工程师,修复也是你自己修复,安全组能提供支持
    3. 最后才是工程师自己的安全意识了,不过也要看公司的文化了,顾不鼓励当责心态了
        102
    wangxiaoaer   50 天前 via Android   ♥ 2
    楼主,你是个好人,只是情商低而已,没什么大不了的。
        103
    kulove   50 天前 via Android
    @wangxiaoaer 应该是这件事的说话方式显得情商低- -
        104
    learnshare   50 天前
    这种问题除非公司严格要求,单独要求某些人是没用的,能用就行
        105
    kulove   50 天前 via Android
    @learnshare 怎么感觉偏题了。。并没有要求别人怎么做啊。。只是说到了提出方案吧。。
    @iyaozhen 对的,所以前面也说了..只有很严重并且涉及到隐私的才会提出来
        106
    nicevar   50 天前
    @tutusolo 说小公司很少被搞就胡扯了,没发现不代表没被搞,你现在就可以去搜索 webshell 的一些关键字,你会发现一大堆小公司,那些
    马放在里面都是养了好几年的,你不信再看一下那些僵尸机器 ip,阿里 /腾讯云一大片的,反查过去都是些小公司的, 更离谱的是现在都能找到不少小公司的马都是从 04 年左右放上去的,养了十几年的。
        107
    canxden   50 天前
    尽人事, 听天命.
        108
    wu1990   50 天前
    和上级说
        109
    keysona   50 天前
    和上级提出来,上级也觉得不是问题的话就 pass 吧。

    就我自己的情况,会把一些有安全隐患的列出来,要不要修复就看公司意见。

    到时出事了,我不背锅。
        110
    libook   50 天前
    已 Block 那位键盘侠。。。

    私以为权利和义务是分开的,发现问题即时通知相关负责人员,尽了应尽的义务,这是值得鼓励的的事情。
    对方负责人有决定是否处理的自由,不越俎代庖,以示尊重。
    一方面仁至义尽即可,另一方面明哲保身。

    但如果自己和公司利益绑定,如果对方选择不处理,还是找对方领导推进一下事情的解决吧,总比出险了自己跟着遭殃要好。
    还记得曾经全球第一大的赛门铁克 CA,因为签发不合规的信息安全问题导致一年内直接死翘翘。
        111
    kulove   50 天前 via Android
    @libook 对的,一提起来职场,很多人会说:管好自己吧,别没事找事;和你有什么关系;小公司的漏洞谁会看得上呢;一看你就是刚入职场的小白,一些老油条只会在乎自己的利益。等等言论。
    看到这么多,真不知道是我三观有问题还是他们有问题呢?
        112
    kulove   50 天前 via Android
    @keysona 现在是跟上级提出来的,然后跟另一个项目组的同事复现以及讨论解决方案。
    除了说的一句话语气有问题外(转身走的时候想说语气有问题见谅什么的,后来想了想就算了),并不觉得这么做错在哪里。
        113
    saulshao   50 天前
    通常说的专业精神,指的就是楼主这样的。
    这种情况下,我认为不需要考虑对方的感受,如果是一个有头脑的人,吵完架最终自己也会明白的。
    虽然我现在面对这种问题已经不再吵架了,就是直接向上汇报,如果整个公司都没有一个明白人,那就赶紧收拾收拾滚蛋。
        114
    MOONYANYI   50 天前
    作为开发,项目就是成绩,出了问题就是责任,楼主提出了隐患并且提供了可解决思路,是个好同事.他可能是觉得自己的代码写的有隐患被人当众说出来,心里不好受.明显做不到公事公办.
        115
    janhu9527   50 天前
    @lizhenda 其实这就是所谓的中国式情商,说白了就是:事不关己高高挂起==情商高,老油条==情商高,见仁见智吧,我倒是认为动不动拿情商说事的人是真“情商低”。
        116
    kulove   50 天前 via Android
    @MOONYANYI 就像上面有个人说的,如果我提出了问题就要打我一顿,因为我给他添了麻烦,侵犯了他的利益。。而且还觉得亡羊补牢才好。
    好像还有点自大,十年前知道有什么用呢。
        117
    Eugene1024   50 天前
    对牛弹琴
        118
    Ryanwang   49 天前
    和老油条无关。有时候是周围的文化氛围决定的,我也经历过类似的事情,好心提了一些建议,不被采纳,还被误解。当面被人说“你行你来做”,背后说“知识面比你广”(潜台词是我在炫耀自己懂的比他多)。你是出于好心,但是有相当多的一些人未必是这么想。无论你是怎么想的,首先是要保护好自己。和直接负责人无法沟通,可以和领导私下沟通下。但是,当下的环境,很可能被误解为打小报告。那个对我说“你行你来做”的哥们,我是再也没有当面给出他任何意见和建议。当然,这个哥们自己是很喜欢到处挑其他人毛病说出来的人。但是,他是再也得不到来自我的建议和看法了。从大的方面说,项目和公司因为这些缺陷可能受到损失,但问题的根源是文化氛围。
        119
    Ryanwang   49 天前
    还有,能看出存在的问题,本身就是有知识经验的积累。主动提出来了,其实是无私的表现了。也许是语气方式有需要提高的地方,要反思下,是否需要改进。另外,我觉得除非是环境氛围允许,或者是领导要求你提出看法,否则没有必要说出你的看法。你自己的知识经验也是你花费时间和精力累积起来的,这些知识经验是有代价的。是否值得说出来?这个要自己考虑下。
        120
    jssyxzy   49 天前
    https://zhuanlan.zhihu.com/p/41453347
    很简单的就是人际关系界限不清。
    ls 还有人说老油条,我只能说相当一部分人情商低并不是假的。
        121
    solaro   48 天前
    关你屁事,关我屁事。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3434 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 19ms · UTC 04:15 · PVG 12:15 · LAX 21:15 · JFK 00:15
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1