хочется взять и у%%%ть
От: CodeMonkey  
Дата: 20.01.19 19:48
Оценка: +5 -1
Логин на сайт. Ошибка:

We're sorry, but something went wrong.

If you are the application owner check the logs for more information.

Что конкретно за ошибка, кому и как ее репортить — ни слова. И такая хрень — это уже правило, а не исключение. Полная деградация.
Re: хочется взять и у%%%ть
От: Sharowarsheg  
Дата: 20.01.19 19:59
Оценка:
Здравствуйте, CodeMonkey, Вы писали:

CM>Логин на сайт. Ошибка:

CM>

We're sorry, but something went wrong.

CM>If you are the application owner check the logs for more information.

CM>Что конкретно за ошибка, кому и как ее репортить — ни слова. И такая хрень — это уже правило, а не исключение. Полная деградация.
CM>

Сайт-то бесплатный небось?
Re: хочется взять и у%%%ть
От: netch80 Украина http://netch80.dreamwidth.org/
Дата: 20.01.19 20:05
Оценка: +6 :))) :)))
Здравствуйте, CodeMonkey, Вы писали:

CM>Логин на сайт. Ошибка:

CM>

We're sorry, but something went wrong.
CM>If you are the application owner check the logs for more information.

CM>Что конкретно за ошибка, кому и как ее репортить — ни слова.

А почему постороннему должны это сообщать? Мало ли кто ты такой?
И вообще, выдать email/telegram/etc. вебмастера это нарушение защиты персональной информации.
Владельцу нужно — он логи почитает. А может, ему автоматом и письмо придёт.

CM> И такая хрень — это уже правило, а не исключение. Полная деградация.


Это интернет, здесь опасно.
The God is real, unless declared integer.
Re[2]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 20.01.19 20:08
Оценка:
Здравствуйте, netch80, Вы писали:

N>А почему постороннему должны это сообщать? Мало ли кто ты такой?


Железобетонный аргумент...

N>И вообще, выдать email/telegram/etc. вебмастера это нарушение защиты персональной информации.


Сделать кнопку и/или форму "сообщить об ошибке", видимо, тоже?

N>Это интернет, здесь опасно.


Рыбак рыбака...
Показать тебе примерно такую же ошибку в винде, которая ни разу не бесплатная?
Re[3]: хочется взять и у%%%ть
От: netch80 Украина http://netch80.dreamwidth.org/
Дата: 20.01.19 20:15
Оценка:
Здравствуйте, CodeMonkey, Вы писали:

N>>А почему постороннему должны это сообщать? Мало ли кто ты такой?

CM>Железобетонный аргумент...

Ну дык ёлы-палы. Времена сети друзей по имени ARPANET закончились лет 30 назад.

N>>И вообще, выдать email/telegram/etc. вебмастера это нарушение защиты персональной информации.

CM>Сделать кнопку и/или форму "сообщить об ошибке", видимо, тоже?

А оно и так знает, что произошла ошибка, раз выдало тебе такую страницу. Значит, может и внутренним каналом сообщить о ней.

N>>Это интернет, здесь опасно.

CM>Рыбак рыбака...
CM>Показать тебе примерно такую же ошибку в винде, которая ни разу не бесплатная?

А я говорил что-то про платность чи нет? Только про опасность.
Можно было бы, конечно, сделать что-то вроде "раз клиент из внутренней сети, показать ему больше данных".
Но зачем, если есть инструкция по настройке?
The God is real, unless declared integer.
Re[4]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 20.01.19 20:21
Оценка:
Здравствуйте, netch80, Вы писали:

N>Ну дык ёлы-палы. Времена сети друзей по имени ARPANET закончились лет 30 назад.


Аргумент изначально фигня. Ну да, я посторонний. Но почему нельзя хоть примерно сказать, что за ошибка?

N>А оно и так знает, что произошла ошибка, раз выдало тебе такую страницу. Значит, может и внутренним каналом сообщить о ней.


А ты оптимист.

N>Можно было бы, конечно, сделать что-то вроде "раз клиент из внутренней сети, показать ему больше данных".

N>Но зачем, если есть инструкция по настройке?

Л — Логика.
Re[5]: хочется взять и у%%%ть
От: _ABC_  
Дата: 20.01.19 20:37
Оценка: +6
Здравствуйте, CodeMonkey, Вы писали:

CM>Аргумент изначально фигня. Ну да, я посторонний. Но почему нельзя хоть примерно сказать, что за ошибка?

Зачем?
Обычному пользователю это ничего не скажет и он ничего изменить не сможет.
Злоумышленник некоторые виды ошибок может использовать в плохих целях.
Re[6]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 20.01.19 20:41
Оценка:
Здравствуйте, _ABC_, Вы писали:

_AB>Обычному пользователю это ничего не скажет и он ничего изменить не сможет.


Уверен?

_AB>Злоумышленник некоторые виды ошибок может использовать в плохих целях.


Как, например?
Re[5]: хочется взять и у%%%ть
От: netch80 Украина http://netch80.dreamwidth.org/
Дата: 20.01.19 20:51
Оценка: :)
Здравствуйте, CodeMonkey, Вы писали:

N>>Ну дык ёлы-палы. Времена сети друзей по имени ARPANET закончились лет 30 назад.

CM>Аргумент изначально фигня. Ну да, я посторонний. Но почему нельзя хоть примерно сказать, что за ошибка?

А если ты хакер, то по таким "примерным" рассказам сможешь уже восстановить заметно информации о внутреннем устройстве и куда бить дальше.

N>>А оно и так знает, что произошла ошибка, раз выдало тебе такую страницу. Значит, может и внутренним каналом сообщить о ней.

CM>А ты оптимист.

Я реалист. Я видел подобные системы на базе стандартных движков.

N>>Можно было бы, конечно, сделать что-то вроде "раз клиент из внутренней сети, показать ему больше данных".

N>>Но зачем, если есть инструкция по настройке?
CM>Л — Логика.

Да, логика. То, что посылки-основания тебе неизвестны или не устраивают, не делает её не-логикой.
The God is real, unless declared integer.
Re[6]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 20.01.19 20:57
Оценка:
Здравствуйте, netch80, Вы писали:

N>А если ты хакер, то по таким "примерным" рассказам сможешь уже восстановить заметно информации о внутреннем устройстве и куда бить дальше.


За такую "безопасность" надо наказывать каторжным программированием на Ассемблере, на неопределенный срок до прояснения мозгов.

N>Я реалист. Я видел подобные системы на базе стандартных движков.


Ну если где-то видел, то и эта тоже наверняка такая же. Как может быть иначе?

N>Да, логика. То, что посылки-основания тебе неизвестны или не устраивают, не делает её не-логикой.


Ну расскажи мне, какие посылки и основания у тебя есть
Re[7]: хочется взять и у%%%ть
От: netch80 Украина http://netch80.dreamwidth.org/
Дата: 20.01.19 22:02
Оценка: :)
Здравствуйте, CodeMonkey, Вы писали:

N>>А если ты хакер, то по таким "примерным" рассказам сможешь уже восстановить заметно информации о внутреннем устройстве и куда бить дальше.

CM>За такую "безопасность" надо наказывать каторжным программированием на Ассемблере, на неопределенный срок до прояснения мозгов.

Обоснование — в студию.

N>>Да, логика. То, что посылки-основания тебе неизвестны или не устраивают, не делает её не-логикой.

CM>Ну расскажи мне, какие посылки и основания у тебя есть

Сначала твои. Ты же начал ругать на эмоциях.
The God is real, unless declared integer.
Re[2]: хочется взять и у%%%ть
От: XOOIOOX  
Дата: 21.01.19 00:31
Оценка: 4 (2) :))) :)
Здравствуйте, netch80, Вы писали:

N> А почему постороннему должны это сообщать? Мало ли кто ты такой?


Re[7]: хочется взять и у%%%ть
От: _ABC_  
Дата: 21.01.19 00:42
Оценка: +2
Здравствуйте, CodeMonkey, Вы писали:

_AB>>Обычному пользователю это ничего не скажет и он ничего изменить не сможет.

CM>Уверен?
Да. Обычный пользователь почти ничего не знает об IT. Твои версии, что может сделать обычный пользователь в случае обнаружения ошибки с деталями этой самой ошибки?

А злоумышленник если поймет по деталям сообщения технологии, на которых построена система, и точку сбоя, может более целенаправленно пробовать бить по уязвимым точкам. Зачем упрощать жизнь злоумышленникам? Это не деградация, а простая и действенная стратегия.

_AB>>Злоумышленник некоторые виды ошибок может использовать в плохих целях.

CM>Как, например?
Пара логин/пароль.
Сообщение общего типа о том, что пара неверная дает минимум информации.
Сообщение, что логин неверен дает информации больше и сужает поиск до поиска действующего логина.
Сообщение, что пароль неверен дает еще больше информации. С учетом того, что логин сегодня — это email почти везде, у тебя есть активный email для спам-рассылок (причем если взламываемый ресурс узкоспециализирован — то таргетированных спам-рассылок, которые ценятся выше), у тебя есть информация, что логин существует и можно попробовать брут-форсить пароль, у тебя есть еще одна точка для попытки взлома — сам email.
Re[8]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 21.01.19 02:03
Оценка:
Здравствуйте, netch80, Вы писали:

N>Обоснование — в студию.


security through obscurity, слышал когда-нибудь?

N>Сначала твои. Ты же начал ругать на эмоциях.


Диагностика ошибок, слышал когда-нибудь?
Re[8]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 21.01.19 02:06
Оценка:
Здравствуйте, _ABC_, Вы писали:

_AB>Да. Обычный пользователь почти ничего не знает об IT. Твои версии, что может сделать обычный пользователь в случае обнаружения ошибки с деталями этой самой ошибки?


Смотря какие детали. В данном случае, например, есть куча вариантов. Не работает этот конкретный вид логина? Или сломался логин вообще? Или регистрацию закрыли? Или еще что?
Попробуй догадайся.

_AB>С учетом того, что логин сегодня — это email почти везде, у тебя есть активный email для спам-рассылок (причем если взламываемый ресурс узкоспециализирован — то таргетированных спам-рассылок, которые ценятся выше), у тебя есть информация, что логин существует и можно попробовать брут-форсить пароль, у тебя есть еще одна точка для попытки взлома — сам email.


Ты сообщение об ошибке (см выше) читал вообще?
Re: хочется взять и у%%%ть
От: CreatorCray  
Дата: 21.01.19 02:38
Оценка: +6 :)
Здравствуйте, CodeMonkey, Вы писали:

CM>If you are the application owner check the logs for more information.

CM>Что конкретно за ошибка, кому и как ее репортить — ни слова.

Написано же — детали в логах.
Выдавать юзеру детали что там пошло не так:
1. Бесполезно в 99.9999% случаев
2. Опасно в остальных случаях
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[9]: хочется взять и у%%%ть
От: _ABC_  
Дата: 21.01.19 02:40
Оценка:
Здравствуйте, CodeMonkey, Вы писали:

CM>Смотря какие детали. В данном случае, например, есть куча вариантов.

В данном случае есть только один вариант — что-то системное. Запрос ошибку дает, маршрут неверный, еще что-то такого типа.
На бизнес ошибки сообщения кастомизируются.

CM>Ты сообщение об ошибке (см выше) читал вообще?

Угу.
Re[10]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 21.01.19 03:16
Оценка:
Здравствуйте, _ABC_, Вы писали:

_AB>Угу.


Ну тогда должен бы понимать, что один очень частный случай не оправдывает общую политику.
Re[2]: хочется взять и у%%%ть
От: CodeMonkey  
Дата: 21.01.19 03:22
Оценка:
Здравствуйте, CreatorCray, Вы писали:

CC>Написано же — детали в логах.


Которые никто не читает.

CC>Выдавать юзеру детали что там пошло не так:

CC>1. Бесполезно в 99.9999% случаев

Интересно, откуда взялось число? Уж не с потолка ли?
Re[9]: хочется взять и у%%%ть
От: Ops Россия  
Дата: 21.01.19 03:56
Оценка: +5
Здравствуйте, CodeMonkey, Вы писали:

CM>security through obscurity, слышал когда-нибудь?


Ты так пишешь, будто это что-то плохое, и мешающее другим средствам безопасности.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.