私は職場で少し議論があり、誰が正しいのか、何が正しいのかを理解しようとしています。
コンテキスト:顧客が会計やその他のERPに使用するイントラネットWebアプリケーション。
(物事がクラッシュした場合)ユーザーに表示されるエラーメッセージには、スタックトレースなど、できるだけ多くの情報を含めるべきだと思います。もちろん、それはまず、「エラーが発生しました。開発者に以下の情報を送信してください」という大きなわかりやすい手紙で始める必要があります。
私の推論では、クラッシュしたアプリケーションのスクリーンショットがしばしば唯一の簡単に入手できる情報源になるということです。確かに、クライアントのシステム管理者の把握を試みたり、ログファイルの場所を説明したりすることができますが、それはおそらく遅くて苦痛です(ほとんどの場合、クライアントの担当者と話すのはそうです)。
また、すべての例外で必要なものを見つけるためにログファイルを探し回る必要のない開発では、即時かつ完全な情報を持つことが非常に役立ちます。(ただし、これは構成スイッチで解決できます。)
残念ながら、ある種の「セキュリティ監査」があり(ソースなしでどのように行われたかはわかりませんが...何でも)、彼らはセキュリティの脅威としてそれらを引用する完全な例外メッセージについて不平を言いました。当然、クライアント(私が知っている少なくとも1人)はこれを額面通りに受け取っており、現在はメッセージのクリーンアップを要求しています。
潜在的な攻撃者がスタックトレースを使用して、以前は理解できなかったものを把握する方法を理解できません。これまでにこれを行った人の例、証拠はありますか?私たちはこの愚かな考えと戦うべきだと思うが、おそらく私はここで愚か者だから...
誰が正しい?
Unfortunately there has been some kind of "Security audit"
」-マジ?それはどんな態度ですか?セキュリティ監査はあなたの利益のためです-あなたのシステムをより良くし、悪者がやる前に問題を見つけます。彼らに対してではなく、彼らと一緒に仕事をしようとすることを本当に検討すべきです。また、Information SecurityでセキュリティPoVに関する詳細情報を取得することもできます。