J'ai un peu de discussion sur mon lieu de travail et j'essaie de trouver qui a raison et quelle est la bonne chose à faire.
Contexte: une application Web intranet que nos clients utilisent pour la comptabilité et d’autres progiciels de gestion intégrés.
Je suis d'avis qu'un message d'erreur présenté à l'utilisateur (en cas de plantage) devrait inclure autant d'informations que possible, y compris le suivi de la pile. Bien sûr, il doit commencer par un beau message "Une erreur est survenue, veuillez envoyer les informations ci-dessous aux développeurs" en grosses lettres amicales.
Mon raisonnement est qu'une capture d'écran de l'application en panne sera souvent la seule source d'informations facilement disponible. Bien sûr, vous pouvez essayer de contacter le (s) administrateur (s) du système du client, tenter d’expliquer où sont vos fichiers journaux, etc.
En outre, disposer d'informations complètes et immédiates est extrêmement utile en développement, car vous n'avez pas à parcourir les fichiers journaux pour trouver ce dont vous avez besoin à chaque exception. (Mais cela pourrait être résolu avec un commutateur de configuration.)
Malheureusement, il y a eu une sorte d '"audit de sécurité" (aucune idée de la façon dont ils l'ont fait sans les sources ... mais peu importe), et ils se sont plaints des messages d'exception complets les citant comme une menace à la sécurité. Naturellement, les clients (au moins un de ceux que je connais) ont pris cela au sérieux et exigent maintenant que les messages soient nettoyés.
Je ne vois pas comment un attaquant potentiel pourrait utiliser une trace de pile pour découvrir quelque chose qu'il n'aurait jamais pu comprendre auparavant. Existe-t-il des exemples, des preuves documentées montrant que quelqu'un a déjà fait cela? Je pense que nous devrions lutter contre cette idée stupide, mais peut-être que je suis idiot ici, alors ...
Qui a raison
Unfortunately there has been some kind of "Security audit"
" - Sérieusement? Quel genre d'attitude est-ce? Les audits de sécurité sont à votre avantage - pour améliorer vos systèmes, pour détecter les problèmes avant les méchants. Vous devriez vraiment envisager d'essayer de travailler avec eux, pas contre eux. Vous pouvez également essayer d'obtenir plus d'informations sur la valeur de sécurité dans Information Security .