Questa è una situazione in cui devi esprimere le cose correttamente. Le password in chiaro non sono qualcosa che si definisce "cattiva pratica". È qualcosa che tu esprimi come rotto, qualcosa che semplicemente non può essere fatto. È necessario rendere il contratto contingente per la correzione della memorizzazione della password, non è facoltativo. Questo non vuol dire che non puoi avere una discussione amichevole sul perché non può essere fatto, ma devi chiarire che non lo farai, non importa quale.
Allora la domanda diventa come si fa a convincere la gente di affari che non è una soluzione valida. Questo dovrebbe anche essere abbastanza facile. Trova i responsabili delle decisioni e portali su una macchina in cui è aperto il browser delle query del database. Digita la query "Seleziona password da credenziali dove username = 'DECISION_MAKERS_USERNAME'", quindi esegui il decision maker (sii educato e non guardi lo schermo mentre lo fanno) Spiega che qualsiasi dipendente con accesso al database sarà in grado di Fai questo. Generalmente penserei che sarebbe il trucco, ma se hai bisogno di fare ulteriori convincenti spiega che una grande parte degli utenti condivide le password attraverso le applicazioni e che qualsiasi dipendente sarebbe in grado di entrare in cose come conti bancari, account di posta elettronica, ecc. esso. Se questo non è ancora abbastanza, spiega esempi di cause legali e multe per le aziende che hanno fatto questo.
Qualunque cosa tu faccia, non spiegare i dettagli tecnici di qualsiasi di esso. Basta mostrare le conseguenze. Non spiegare hash, sali o usare parole come "testo in chiaro". Spiega solo che è ora che le persone possono vedere le password e che sarà facile cambiarle in modo che nessuno possa vedere le password, ma funzionerebbero comunque.
Se non riesci a convincerli, non prendere il cliente. E probabilmente dovresti avvertire gli utenti dell'applicazione che le loro password non sono archiviate in modo sicuro.
fonte
2009-09-25 14:27:34
non è una cattiva pratica, semplicemente non ha funzionato. chiameresti a consegnare una macchina senza interrompere le cattive pratiche? – markus
e non capisco perché dovrebbe essere difficile spiegarlo a un cliente. Dico solo al mio cliente: c'è un grosso problema con il modo in cui le tue applicazioni memorizzano le password, questo è molto molto molto pericoloso, dobbiamo cambiarlo presto! questo non è un problema da prendere alla leggera, dovremmo provare a spremerlo nell'agenda questa settimana! – markus
Capisco il tuo punto dal punto di vista degli sviluppatori ... ma molti clienti hanno bisogno di idee presentate come "le proprie idee". Voglio che capiscano la necessità di questo senza forzarli. Spero che lo chiarisca un po '... – bastianneu