Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Разработка информационных систем Новый топик    Ответить
 Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 3783
Здравствуйте, Господа,
Столкнулся с такой ситуацией. Обнаружил при работе с системой, что она при ошибке соединение с БД выдает в тексте ошибки сервер и название БД. "При подключении по пути 'Data Source=A;Catalog=B;' произошла ошибка:". Это выдается пользователю на веб. Система работает в интраненте. По сути это строка соединения.

Написал баг, чтобы убрали параметры строки соединение. Сформулировал, что пользователю это не надо показывать и что это потенциальная дыра в безопасности. Такую инфу писать только в системный лог на сервере.

Но ответственный за систему, говорит, что это нормально. Что если это не соответствует стандартам, то каким именно официальным стандартам. Надо обосновать.

Кто-нибудь может сказать как его убедить? На какие стандарты можно сослаться? Или может так и надо?
17 авг 18, 11:24    [21645700]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 36145
a_voronin,
К сожалению, это чисто корпоративные стандарты и правила.
Пригрозите что напишите такой документ и под роспись доведете.
Согласуйте с руководством.
...
Принято (но не догма) что в веб идет юзверю код ошибки. В исключительных случаях.
Возьмите руководство пользователя на ИС. Там есть раздел ошибки....
Пусть допишут в руководство.
17 авг 18, 11:37    [21645728]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 3783
Petro123
a_voronin,
К сожалению, это чисто корпоративные стандарты и правила.


А если этот будет поставляться на госпредприятие, где определённый набор данных считается конфиденциальным?
17 авг 18, 11:53    [21645751]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
alex55555
Member

Откуда:
Сообщений: 1304
a_voronin
Кто-нибудь может сказать как его убедить?

Нужно воспользоваться дырой в безопасности. Устранят на следующий день.
17 авг 18, 12:15    [21645795]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 36145
a_voronin
Petro123
a_voronin,
К сожалению, это чисто корпоративные стандарты и правила.

А если этот будет поставляться на госпредприятие, где определённый набор данных считается конфиденциальным?

Будет акт приемки ИС подписанный тем кого посадят)).
Наш верховный мячик подарил, кто его проверял?
17 авг 18, 12:30    [21645821]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
WebSharper
Member

Откуда:
Сообщений: 411
https://cwe.mitre.org/data/definitions/209.html

"Ensure that error messages only contain minimal details that are useful to the intended audience, and nobody else. "
17 авг 18, 17:55    [21646317]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 36145
WebSharper,
Отличная ссылка.
17 авг 18, 18:41    [21646345]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
softwarer
Member

Откуда: 127.0.0.1
Сообщений: 54817
Блог
a_voronin
Кто-нибудь может сказать как его убедить?

А зачем Вам его убеждать? Если это посторонний человек и посторонняя система - нафиг Вам бороться за их счастье? Если же это на работе итп. - дайте ссылку на любой набор рекомендаций в интернете, мол, хочешь - изучай, и добавьте, что при отсутствии реакции придётся пойти официальным путём, через служебку.
17 авг 18, 20:33    [21646454]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 30824
Блог
a_voronin
Petro123
a_voronin,
К сожалению, это чисто корпоративные стандарты и правила.


А если этот будет поставляться на госпредприятие, где определённый набор данных считается конфиденциальным?


Во всех местах, где я работал, имена серверов не являлись конфиденциальной информацией.
19 авг 18, 06:21    [21647010]     Ответить | Цитировать Сообщить модератору
 Re: Почему нельзя показывать строку соединения в сообщение об ошибке  [new]
WebSharper
Member

Откуда:
Сообщений: 411
Критик,
1) строка соединения может содержать не только имена серверов

2) даже если имена серверов не конфиденциальны, не надо их раскрывать, чтобы не облегчать потенциальному злоумышленнику исследования конфигурации
19 авг 18, 11:04    [21647061]     Ответить | Цитировать Сообщить модератору
Все форумы / Разработка информационных систем Ответить