کدام عمل بهتر است؟
این به نیازهای شما بستگی دارد. هیچ "امن" یا "غیر امن" وجود ندارد، فقط "به اندازه کافی امن برای نیازهایم" وجود دارد. کدام بهتر است به ریسک و سودمندی خاص شما بستگی دارد. به همین ترتیب، این به ندرت یک سوال قابل پاسخ در یک زمینه امنیتی است.
آیا بازخوانی کدهای خطای داخلی خاص می تواند به حمله کنندگان در تلاش های نفوذ آنها کمک کند؟
احتمالا نه. مطمئنا نباید ردیابی پشته یا مانند آن را بازگردانید، اما توضیح خطای مبهم احتمالا بعید است که به یک مهاجم احتمالی کمک کند. با این حال، توصیف خطای مبهم احتمالا بعید است در طول اشکالزدایی بسیار مفید باشد. در نتیجه من قصد دارم از سوال واضح بپرسم:
آیا شما در سیستم خود وارد نشده اید؟
به عنوان مثال، در تماسهای API من اگر خطایی در تولید وجود داشته باشد، به سادگی بازگشت می دهم (یک JSON سند) که می گوید "خطای داخلی" همراه با یک کد وضعیت 500. این به خوبی برای توسعه دهندگان جلوی ما کار می کند. هنگامی که آنها می بینند که آنها فقط متوقف می شوند و من را ناراحت می کنند؛ زیرا آنها می دانند که مشکل در پایان آنها نیست. به هر حال، من فقط به سیاهههای سرور نگاه میکنم که دقیقا چه اتفاقی برایم میافتاد. هیچ چیزی وجود ندارد که به طور بالقوه برای افراد بیگانه نشت کند و من تمام اطلاعات مربوط به اشکالزدایی را که نیاز به حل هر مشکلی دارد وجود دارد.
به طور خلاصه، به نظر می رسد همان چیزی است که شما نیاز دارید، یک ورودی دقیق است که فقط درون در دسترس است. [19659008]
