Здравствуйте, CodeMonkey, Вы писали:
CM>Логин на сайт. Ошибка: CM>
We're sorry, but something went wrong.
CM>If you are the application owner check the logs for more information.
CM>Что конкретно за ошибка, кому и как ее репортить — ни слова.
А почему постороннему должны это сообщать? Мало ли кто ты такой?
И вообще, выдать email/telegram/etc. вебмастера это нарушение защиты персональной информации.
Владельцу нужно — он логи почитает. А может, ему автоматом и письмо придёт.
CM> И такая хрень — это уже правило, а не исключение. Полная деградация.
Здравствуйте, CodeMonkey, Вы писали:
N>>А почему постороннему должны это сообщать? Мало ли кто ты такой? CM>Железобетонный аргумент...
Ну дык ёлы-палы. Времена сети друзей по имени ARPANET закончились лет 30 назад.
N>>И вообще, выдать email/telegram/etc. вебмастера это нарушение защиты персональной информации. CM>Сделать кнопку и/или форму "сообщить об ошибке", видимо, тоже?
А оно и так знает, что произошла ошибка, раз выдало тебе такую страницу. Значит, может и внутренним каналом сообщить о ней.
N>>Это интернет, здесь опасно. CM>Рыбак рыбака... CM>Показать тебе примерно такую же ошибку в винде, которая ни разу не бесплатная?
А я говорил что-то про платность чи нет? Только про опасность.
Можно было бы, конечно, сделать что-то вроде "раз клиент из внутренней сети, показать ему больше данных".
Но зачем, если есть инструкция по настройке?
Здравствуйте, netch80, Вы писали:
N>Ну дык ёлы-палы. Времена сети друзей по имени ARPANET закончились лет 30 назад.
Аргумент изначально фигня. Ну да, я посторонний. Но почему нельзя хоть примерно сказать, что за ошибка?
N>А оно и так знает, что произошла ошибка, раз выдало тебе такую страницу. Значит, может и внутренним каналом сообщить о ней.
А ты оптимист.
N>Можно было бы, конечно, сделать что-то вроде "раз клиент из внутренней сети, показать ему больше данных". N>Но зачем, если есть инструкция по настройке?
Здравствуйте, CodeMonkey, Вы писали:
CM>Аргумент изначально фигня. Ну да, я посторонний. Но почему нельзя хоть примерно сказать, что за ошибка?
Зачем?
Обычному пользователю это ничего не скажет и он ничего изменить не сможет.
Злоумышленник некоторые виды ошибок может использовать в плохих целях.
Здравствуйте, CodeMonkey, Вы писали:
N>>Ну дык ёлы-палы. Времена сети друзей по имени ARPANET закончились лет 30 назад. CM>Аргумент изначально фигня. Ну да, я посторонний. Но почему нельзя хоть примерно сказать, что за ошибка?
А если ты хакер, то по таким "примерным" рассказам сможешь уже восстановить заметно информации о внутреннем устройстве и куда бить дальше.
N>>А оно и так знает, что произошла ошибка, раз выдало тебе такую страницу. Значит, может и внутренним каналом сообщить о ней. CM>А ты оптимист.
Я реалист. Я видел подобные системы на базе стандартных движков.
N>>Можно было бы, конечно, сделать что-то вроде "раз клиент из внутренней сети, показать ему больше данных". N>>Но зачем, если есть инструкция по настройке? CM>Л — Логика.
Да, логика. То, что посылки-основания тебе неизвестны или не устраивают, не делает её не-логикой.
Здравствуйте, netch80, Вы писали:
N>А если ты хакер, то по таким "примерным" рассказам сможешь уже восстановить заметно информации о внутреннем устройстве и куда бить дальше.
За такую "безопасность" надо наказывать каторжным программированием на Ассемблере, на неопределенный срок до прояснения мозгов.
N>Я реалист. Я видел подобные системы на базе стандартных движков.
Ну если где-то видел, то и эта тоже наверняка такая же. Как может быть иначе?
N>Да, логика. То, что посылки-основания тебе неизвестны или не устраивают, не делает её не-логикой.
Ну расскажи мне, какие посылки и основания у тебя есть
Здравствуйте, CodeMonkey, Вы писали:
N>>А если ты хакер, то по таким "примерным" рассказам сможешь уже восстановить заметно информации о внутреннем устройстве и куда бить дальше. CM>За такую "безопасность" надо наказывать каторжным программированием на Ассемблере, на неопределенный срок до прояснения мозгов.
Обоснование — в студию.
N>>Да, логика. То, что посылки-основания тебе неизвестны или не устраивают, не делает её не-логикой. CM>Ну расскажи мне, какие посылки и основания у тебя есть
Здравствуйте, CodeMonkey, Вы писали:
_AB>>Обычному пользователю это ничего не скажет и он ничего изменить не сможет. CM>Уверен?
Да. Обычный пользователь почти ничего не знает об IT. Твои версии, что может сделать обычный пользователь в случае обнаружения ошибки с деталями этой самой ошибки?
А злоумышленник если поймет по деталям сообщения технологии, на которых построена система, и точку сбоя, может более целенаправленно пробовать бить по уязвимым точкам. Зачем упрощать жизнь злоумышленникам? Это не деградация, а простая и действенная стратегия.
_AB>>Злоумышленник некоторые виды ошибок может использовать в плохих целях. CM>Как, например?
Пара логин/пароль.
Сообщение общего типа о том, что пара неверная дает минимум информации.
Сообщение, что логин неверен дает информации больше и сужает поиск до поиска действующего логина.
Сообщение, что пароль неверен дает еще больше информации. С учетом того, что логин сегодня — это email почти везде, у тебя есть активный email для спам-рассылок (причем если взламываемый ресурс узкоспециализирован — то таргетированных спам-рассылок, которые ценятся выше), у тебя есть информация, что логин существует и можно попробовать брут-форсить пароль, у тебя есть еще одна точка для попытки взлома — сам email.
Здравствуйте, _ABC_, Вы писали:
_AB>Да. Обычный пользователь почти ничего не знает об IT. Твои версии, что может сделать обычный пользователь в случае обнаружения ошибки с деталями этой самой ошибки?
Смотря какие детали. В данном случае, например, есть куча вариантов. Не работает этот конкретный вид логина? Или сломался логин вообще? Или регистрацию закрыли? Или еще что?
Попробуй догадайся.
_AB>С учетом того, что логин сегодня — это email почти везде, у тебя есть активный email для спам-рассылок (причем если взламываемый ресурс узкоспециализирован — то таргетированных спам-рассылок, которые ценятся выше), у тебя есть информация, что логин существует и можно попробовать брут-форсить пароль, у тебя есть еще одна точка для попытки взлома — сам email.
Здравствуйте, CodeMonkey, Вы писали:
CM>If you are the application owner check the logs for more information. CM>Что конкретно за ошибка, кому и как ее репортить — ни слова.
Написано же — детали в логах.
Выдавать юзеру детали что там пошло не так:
1. Бесполезно в 99.9999% случаев
2. Опасно в остальных случаях
Здравствуйте, CodeMonkey, Вы писали:
CM>Смотря какие детали. В данном случае, например, есть куча вариантов.
В данном случае есть только один вариант — что-то системное. Запрос ошибку дает, маршрут неверный, еще что-то такого типа.
На бизнес ошибки сообщения кастомизируются.
CM>Ты сообщение об ошибке (см выше) читал вообще?
Угу.