最近,我被要求为高层管理人员建立一个报告工具,以便他们可以监视用户正在访问的网站。这是在没有通知用户的情况下完成的。不幸的是,我有一个很不寻常的好朋友,我知道他会被抓住!他也知道我设置了报告......
对我来说,缺乏用户通知是不道德的。您有哪些类似的经历让您“感觉不对”并让您质疑该怎么做?你是怎么处理的?
小智 6
虽然不是给我的任务,但我必须从被迫停机中恢复过来。
我曾经是一个相当大的金融网站的 SA。我们从里到外都了解我们的系统,拥有集中式日志记录和强大的工具来筛选它们。
突然间(自然非常接近截止日期),所有手机都因警报消息而发疯。检查站点是否已关闭,所有 SA 员工都放下他们正在做的事情并开始调查。
Apache 日志很好,数据库没有抛出任何错误并且缓存旋转得很好。大量备用资源,网络良好,近期没有部署。
10 分钟后,我发现其中一名开发人员获得了该站点的访问权限并添加了一个 die();在一个与页面生成相关的晦涩模块中。
换句话说,该软件做了它被告知要做的事情,并且没有任何日志信息可以提供帮助。
运营该网站的公司的总经理笑着说他想给我们计时。我告诉他不要动,不要动我的生产服务器,我们确实有很好的灾难恢复计划,但是他的开发人员的无能确保这些计划都没有启动。
如果他想检查我们的响应时间,他至少应该与 CTO 讨论过,并询问他是否可以“今天某个时间”或“本周”进行。这样就没有人会生气了,我们也不会浪费任何时间争论。
整个事件是迄今为止我遇到的最不专业的事件之一。
对员工的网络活动进行“监视”是本课程的标准。这里唯一不道德的是,如果员工手册或其他签署的披露文件中没有在招聘时说明这一点。总而言之,企业拥有网络及其数据,而不是用户。正如他们在我的业务范围内所说的那样,“没有隐私的期望”。