bas*_*neu 13 database passwords
我想称"在数据库中以纯文本形式存储密码"这是一个糟糕的实践......但我们的客户在他的应用程序中这样做了.他们希望我续订该应用程序.
我的观点:我想改变这一点......但由于这不是我们客户的需要,目前还不清楚.
您如何处理有关安全性的问题?从我的角度来看,很难向客户解释这些问题.
Rik*_*Rik 11
我认为"糟糕的做法"是轻描淡写的."不负责任"可能更准确.
如果用密码保护它是值得的,那么值得正确地做.以明文形式存储密码是一种令人尴尬的安全漏洞等待发生.
如果"安全性"在您的客户愿望的任何地方(我猜它是,因为有密码),他们已经隐含地要求一个像样的安全系统,其中包括正确处理密码.他们可能不会要求"密码被安全存储"(哈希和盐渍),因为他们不是专家; 这就是他们雇用你的东西.
写一篇简短,清晰,没有行话的正式信函,说明您的疑虑,并在您的专业意见中得出结论,应予以纠正.向客户中相当高的人说话.
如果他们选择忽略你的建议,那就是他们的特权.
(也请自己保留一封信.)
| 归档时间: |
|
| 查看次数: |
857 次 |
| 最近记录: |