因为安全问题和同事产生了冲突,真是多管闲事。

2019-01-28 21:26:36 +08:00
 kulove

发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。

我说有漏洞,然后复现。

他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??

就问怎么解决,说黑名单过滤后缀。。

最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。

后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。

只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。

想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。

对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。

最后替用这个产品的用户捏把汗。

10970 次点击
所在节点    职场话题
121 条回复
iyaozhen
2019-01-29 12:22:06 +08:00
如果公司没有安全意识,这个人也没有,最好还是不要和同事说这些。
因为没在一个层面,他理解不了你说的。
建议还是换个公司

@tutusolo 比如这位,大家观念有差距,如果要共事就需要求同存异了。
1. 安全这个事情还是要公司整体的政策,安全问题是最高优先级,限期修复
2. 大公司安全问题也不都是安全组的事,具体写代码的还是一线工程师,修复也是你自己修复,安全组能提供支持
3. 最后才是工程师自己的安全意识了,不过也要看公司的文化了,顾不鼓励当责心态了
wangxiaoaer
2019-01-29 12:24:40 +08:00
楼主,你是个好人,只是情商低而已,没什么大不了的。
kulove
2019-01-29 12:31:30 +08:00
@wangxiaoaer 应该是这件事的说话方式显得情商低- -
learnshare
2019-01-29 12:32:48 +08:00
这种问题除非公司严格要求,单独要求某些人是没用的,能用就行
kulove
2019-01-29 13:03:58 +08:00
@learnshare 怎么感觉偏题了。。并没有要求别人怎么做啊。。只是说到了提出方案吧。。
@iyaozhen 对的,所以前面也说了..只有很严重并且涉及到隐私的才会提出来
nicevar
2019-01-29 13:19:30 +08:00
@tutusolo 说小公司很少被搞就胡扯了,没发现不代表没被搞,你现在就可以去搜索 webshell 的一些关键字,你会发现一大堆小公司,那些
马放在里面都是养了好几年的,你不信再看一下那些僵尸机器 ip,阿里 /腾讯云一大片的,反查过去都是些小公司的, 更离谱的是现在都能找到不少小公司的马都是从 04 年左右放上去的,养了十几年的。
canxden
2019-01-29 15:41:06 +08:00
尽人事, 听天命.
wu1990
2019-01-29 15:53:37 +08:00
和上级说
keysona
2019-01-29 16:20:24 +08:00
和上级提出来,上级也觉得不是问题的话就 pass 吧。

就我自己的情况,会把一些有安全隐患的列出来,要不要修复就看公司意见。

到时出事了,我不背锅。
libook
2019-01-29 16:24:47 +08:00
已 Block 那位键盘侠。。。

私以为权利和义务是分开的,发现问题即时通知相关负责人员,尽了应尽的义务,这是值得鼓励的的事情。
对方负责人有决定是否处理的自由,不越俎代庖,以示尊重。
一方面仁至义尽即可,另一方面明哲保身。

但如果自己和公司利益绑定,如果对方选择不处理,还是找对方领导推进一下事情的解决吧,总比出险了自己跟着遭殃要好。
还记得曾经全球第一大的赛门铁克 CA,因为签发不合规的信息安全问题导致一年内直接死翘翘。
kulove
2019-01-29 17:07:35 +08:00
@libook 对的,一提起来职场,很多人会说:管好自己吧,别没事找事;和你有什么关系;小公司的漏洞谁会看得上呢;一看你就是刚入职场的小白,一些老油条只会在乎自己的利益。等等言论。
看到这么多,真不知道是我三观有问题还是他们有问题呢?
kulove
2019-01-29 17:12:51 +08:00
@keysona 现在是跟上级提出来的,然后跟另一个项目组的同事复现以及讨论解决方案。
除了说的一句话语气有问题外(转身走的时候想说语气有问题见谅什么的,后来想了想就算了),并不觉得这么做错在哪里。
saulshao
2019-01-29 17:21:57 +08:00
通常说的专业精神,指的就是楼主这样的。
这种情况下,我认为不需要考虑对方的感受,如果是一个有头脑的人,吵完架最终自己也会明白的。
虽然我现在面对这种问题已经不再吵架了,就是直接向上汇报,如果整个公司都没有一个明白人,那就赶紧收拾收拾滚蛋。
MOONYANYI
2019-01-29 19:05:12 +08:00
作为开发,项目就是成绩,出了问题就是责任,楼主提出了隐患并且提供了可解决思路,是个好同事.他可能是觉得自己的代码写的有隐患被人当众说出来,心里不好受.明显做不到公事公办.
janhu9527
2019-01-29 19:29:03 +08:00
@lizhenda 其实这就是所谓的中国式情商,说白了就是:事不关己高高挂起==情商高,老油条==情商高,见仁见智吧,我倒是认为动不动拿情商说事的人是真“情商低”。
kulove
2019-01-29 19:31:13 +08:00
@MOONYANYI 就像上面有个人说的,如果我提出了问题就要打我一顿,因为我给他添了麻烦,侵犯了他的利益。。而且还觉得亡羊补牢才好。
好像还有点自大,十年前知道有什么用呢。
Eugene1024
2019-01-30 09:11:12 +08:00
对牛弹琴
Ryanwang
2019-01-30 15:28:50 +08:00
和老油条无关。有时候是周围的文化氛围决定的,我也经历过类似的事情,好心提了一些建议,不被采纳,还被误解。当面被人说“你行你来做”,背后说“知识面比你广”(潜台词是我在炫耀自己懂的比他多)。你是出于好心,但是有相当多的一些人未必是这么想。无论你是怎么想的,首先是要保护好自己。和直接负责人无法沟通,可以和领导私下沟通下。但是,当下的环境,很可能被误解为打小报告。那个对我说“你行你来做”的哥们,我是再也没有当面给出他任何意见和建议。当然,这个哥们自己是很喜欢到处挑其他人毛病说出来的人。但是,他是再也得不到来自我的建议和看法了。从大的方面说,项目和公司因为这些缺陷可能受到损失,但问题的根源是文化氛围。
Ryanwang
2019-01-30 15:41:26 +08:00
还有,能看出存在的问题,本身就是有知识经验的积累。主动提出来了,其实是无私的表现了。也许是语气方式有需要提高的地方,要反思下,是否需要改进。另外,我觉得除非是环境氛围允许,或者是领导要求你提出看法,否则没有必要说出你的看法。你自己的知识经验也是你花费时间和精力累积起来的,这些知识经验是有代价的。是否值得说出来?这个要自己考虑下。
jssyxzy
2019-01-30 18:16:40 +08:00
https://zhuanlan.zhihu.com/p/41453347
很简单的就是人际关系界限不清。
ls 还有人说老油条,我只能说相当一部分人情商低并不是假的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/531374

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX