因为安全问题和同事产生了冲突,真是多管闲事。

2019-01-28 21:26:36 +08:00
 kulove

发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。

我说有漏洞,然后复现。

他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??

就问怎么解决,说黑名单过滤后缀。。

最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。

后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。

只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。

想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。

对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。

最后替用这个产品的用户捏把汗。

10970 次点击
所在节点    职场话题
121 条回复
kulove
2019-01-29 09:41:22 +08:00
@mmdsun 来公司几年了。

@Martin9 确实,比如听明白了吗?可以换成我讲明白了吗? 哈哈哈
mengzhuo
2019-01-29 09:53:42 +08:00
他不想解决的话就跟领导报一下就好了,不用质疑态度的。
keikeizhang
2019-01-29 09:57:53 +08:00
虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道!

我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。

祝好!

-----------------

me too 引以为戒 可以好难改
@PP
ryd994
2019-01-29 10:02:39 +08:00
@kulove 你是要争个高下,还是要把事情办成?
你觉得天经地义,别人不一定这么想。
你和他吵,只会把他树到对立面上。本来可以办好的事情也办不成了。
你们之间有根本性的矛盾么?大家都是打工的,都是在同一间公司打工。而且又不是直接的竞争关系。应该说没有不可调和的矛盾。能提醒是情分,不提醒直接上报是本分。
但是无论如何你没有权力对他的工作过多干涉,他不是你的下属。就算是下属也最好不要,因为大家都是打工仔,下属不是奴隶。

工作沟通讲究客观,不带个人感情,我觉得这是专业性的体现。

在 oncall 中,这一点更加重要。生产环境出故障了,大家都很急,讲话顾不上礼貌。同时又涉及很多小组。说实话大家都想甩锅。但是如果全都在推卸责任打嘴炮,最终大家一起倒霉。说话能以客观事实为中心,那就算语气不好,别人也无话可说。高效地修复问题,这才是第一要务。
jmc891205
2019-01-29 10:07:28 +08:00
是你们公司制度的问题 没有为这种跨组的合作建立一套沟通机制
xiaozi0906
2019-01-29 10:08:37 +08:00
看得出来,贵公司安全并不太重视,如果是互联网公司,早晚得付出代价。
发现问题,思考如何去解决问题,而不是问"你什么态度",遇到脾气冲一点的,是没有好处的,解决不了问题。
可以把问题升级,反馈给项目经理,不行再把级别升上去。

站在企业安全管理的角度,你挖几个漏洞而已,也解决不了核心问题,缺的是项目上线前的安全测试流程,缺的是对安全的重视程度。
kulove
2019-01-29 10:10:33 +08:00
@ryd994 这个与我利益无关,提出了也不会有一毛钱的好处,并没有和他吵,如果不是觉得对方的态度问题,是不会这么说的。
提出解决方案也不属于对他的工作过多干涉。后面说了既然讲专业性,那么我说的应该蛮客观的,什么危害都讲了,别人一句登陆后才能获取怎么搞?。。当场给绕过打脸么?。
kulove
2019-01-29 10:12:56 +08:00
@xiaozi0906 重视程度这个不是一朝一夕形成的,在我看来 get shell 的漏洞就是核心问题,解决这个安全就提升几个等级了。。
wupher
2019-01-29 10:16:13 +08:00
1. 匿名发到 github 上
2. 转发至公司的开发大群里面
183shl
2019-01-29 10:19:21 +08:00
刚来公司,已经发现很多系统存在的漏洞了,现在写的这个项目也有越权,但是刚来还是个实习,说了也不重视,的确非自身利益说多了还得罪人,项目用户量蛮大的,还有各种企业用户。
houzhimeng
2019-01-29 10:24:36 +08:00
不对吧,公司应该报警 抓捕你这发现漏洞的人啊?
TheWalkingDead
2019-01-29 10:25:13 +08:00
楼主绝对情智双低。
活了大半辈子,从来没见过情商低到跟别人说“你什么态度”这种话的人。
xiaozi0906
2019-01-29 10:27:46 +08:00
@kulove 拿几个危害严重的漏洞作为案例,试图帮助公司去建立一个项目安全测试的流程,也是一个发挥你才能的一个机会。

在我看来,这就是一个后台任意文件上传,很多新系统都可能遇到,可以站在程序员的角度帮助他们一起解决。
你提出的想法,在程序员那里更多的会理解是要求,特别是变更代码量多,会造成他们的压力。
可以尝试探讨一下,代码是怎么写的,然后提出你的想法,可能这样写会更安全一些。
kulove
2019-01-29 10:31:51 +08:00
@TheWalkingDead 这句话说错了我认,没办法,说出去的话泼出去的水。
lizhenda
2019-01-29 10:32:52 +08:00
说楼主情商低的我同意,lz 自己也没反驳,那些说智商的低我的就笑了,在这里找优越感?别人是白帽子哎,嘲讽别人带点脑子呀
lizhenda
2019-01-29 10:36:28 +08:00
对于那个同事,俗话说别去叫醒一个装睡的人,你提醒了已经仁义至尽,还去帮忙想解决办法就有点过于热心了,这种一般人自负或者嫌麻烦的人是不喜的。所以第一时间察觉了对方对待这件事的态度,那就适可而止,看清了对方对技术和产品是个什么态度,自己心里明了了,以后就知道该怎么打交道了,道不同不相为谋。
ryd994
2019-01-29 10:36:29 +08:00
@kulove 你不是他领导,就没有权力干涉,也没有权力评价他的工作质量。这是他领导的工作。他工作有什么问题当然向他领导反映,打狗还要看主人呢。
真的不爽的话,复现一次,留下记录。邮件发给他,抄送自己和他双方领导。事先口头和领导通个气。他领导自然会治他,他领导不治他你领导就能治他领导。
他再不爽,也得表面上谢谢你。事后耍阴的那也没办法了,谁叫你非要去出这个头结仇呢?
如果谁都不管,那你就更不用操心了。有书面存档的事情,出了事活该他的。
kulove
2019-01-29 10:38:05 +08:00
@xiaozi0906 有的,曾经拿系统做了安全测试,列出了几个严重漏洞案例以及危害。然而并没有人在意。
William13
2019-01-29 10:38:45 +08:00
头像是 wow ?
kulove
2019-01-29 10:41:05 +08:00
@ryd994 这个..我们是在讨论解决方案啊..这不叫干涉吧...当然不会干涉别人的工作啊..

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/531374

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX