Saya punya sedikit argumen di tempat kerja saya dan saya mencoba mencari tahu siapa yang benar, dan apa hal yang benar untuk dilakukan.
Konteks: aplikasi web intranet yang digunakan pelanggan kami untuk akuntansi dan hal-hal ERP lainnya.
Saya berpendapat bahwa pesan kesalahan yang disajikan kepada pengguna (ketika terjadi crash) harus memasukkan informasi sebanyak mungkin, termasuk jejak stack. Tentu saja, ini harus dimulai dengan "Kesalahan telah terjadi, silakan kirimkan informasi di bawah ini kepada pengembang" dalam huruf besar dan ramah.
Alasan saya adalah tangkapan layar dari aplikasi yang mogok sering kali menjadi satu-satunya sumber informasi yang mudah tersedia. Tentu, Anda dapat mencoba menghubungi administrator sistem klien, berusaha menjelaskan di mana file log Anda, dll, tetapi itu mungkin akan lambat dan menyakitkan (kebanyakan berbicara dengan perwakilan klien).
Juga, memiliki informasi langsung dan lengkap sangat berguna dalam pengembangan, di mana Anda tidak perlu mencari file log untuk menemukan apa yang Anda butuhkan pada setiap pengecualian. (Tapi itu bisa diselesaikan dengan sakelar konfigurasi.)
Sayangnya ada semacam "audit keamanan" (tidak tahu bagaimana mereka melakukannya tanpa sumber ... tapi apa pun), dan mereka mengeluh tentang pesan pengecualian penuh yang menyebut mereka sebagai ancaman keamanan. Tentu saja, klien (setidaknya satu yang saya tahu) telah mengambil ini pada nilai nominal dan sekarang menuntut agar pesan dibersihkan.
Saya gagal melihat bagaimana seorang penyerang potensial dapat menggunakan jejak stack untuk mencari tahu apa yang dia tidak tahu sebelumnya. Apakah ada contoh, bukti terdokumentasi dari siapa pun yang pernah melakukan itu? Saya pikir kita harus melawan ide bodoh ini, tapi mungkin aku yang bodoh di sini, jadi ...
Siapa yang benar
Unfortunately there has been some kind of "Security audit"
" - Serius? Sikap seperti apa itu? Audit keamanan adalah untuk keuntungan Anda - untuk membuat sistem Anda lebih baik, untuk menemukan masalah sebelum orang jahat melakukannya. Anda harus benar-benar mempertimbangkan untuk mencoba bekerja dengan mereka, bukan melawan mereka. Anda juga dapat mencoba untuk mendapatkan informasi lebih lanjut tentang PoV keamanan di Keamanan Informasi .