3333

谢谢大家的建议，删了

回复 1楼的帖子 完全不需要改。用户自己负责电话号码的更新

回复 1楼的帖子 完全不需要改。用户自己负责电话号码的更新
teabucket 发表于 2022-12-07 01:19

我们网站不需要，这是个遗留的安全漏洞。一言难尽…

政府机构改革很难 楼主刚上任 还是观察一下不要操之过急 如果实在觉得有改的必要 可以先跟大老板反应一下 看看老板的意思

我也觉得不太可能。你是怎么发现这个bug的呢？先确认这个bug是不是真实存在吧，然后看下影响的用户有多少，比如说过去一年有多少用户改了手机号。做之前这些analysis还是要做的。要不然确实难以justify

最近组里的manager退了，我刚好比较年轻就顶上去了。我从小到大都没当过领导，也不懂什么管理。 我们是政府机构，组里都是一帮养老的，躺平的大叔大妈们。 最近我发现我们的系统有一个bug，就是比如A用手机号注册的信息，如果A换手机号了，B恰好用了A之前的手机号，那么B就可以用手机OTC登陆A的账号，看到A所有信息。
我就和组里商量，要不要把这个bug改了。却被组里一致觉得我是没事找事，他们都觉得这个bug发生概率很小，可以忽略不计，既然大boss都没有说需要修复，那就继续这样吧… 其实，我一个人慢慢写，应该可以自己整完。我没想到第一次提出意见，而且还是我认为比较重要的东西，就得到全组一致反对。我又是口语不太好的人，在白大妈们你一言我一语的攻势下，瞬间石化了，一句话都说不出来。 我该继续和大家一起摆烂，还是坚持自己把这个事情做完了？
Jessicali0707 发表于 2022-12-07 01:17

和security有关的事，你老板居然不上心，这太奇怪了。 不过如果我老板没说让改的，我绝对不改，做多错多。 除非你野心大要有本事抢你老板的位置，干活的话学新技能比把系统做好有用，当然是说政府部门的系统，不是说大厂高大上的东西。

我也觉得不太可能。你是怎么发现这个bug的呢？先确认这个bug是不是真实存在吧，然后看下影响的用户有多少，比如说过去一年有多少用户改了手机号。做之前这些analysis还是要做的。要不然确实难以justify
temphan 发表于 2022-12-07 01:23

发现这个bug是我测试时候发现的，主要在于我们也看不到feedback，毕竟都是骂声一片，所以索性就不看了。
这就是我很难做的原因……组里其他人觉得安安静静拿工资养老很舒服，感觉大家都不想找事。

我们网站不需要，这是个遗留的安全漏洞。一言难尽…
Jessicali0707 发表于 2022-12-07 01:21

你可考虑加log，或者意外发生时，送出来一些email或者系统通知。改逻辑风险很大。万一你一个疏忽就出大问题了。你怎么知道这个电话号码有没有其他相关逻辑在系统里。 前一段我看treasury direct 的网站改版，结果登陆直接塌了。过几天我看到他们roll back到旧的登陆系统了

政府机构改革很难 楼主刚上任 还是观察一下不要操之过急 如果实在觉得有改的必要 可以先跟大老板反应一下 看看老板的意思
workinghands 发表于 2022-12-07 01:22

大老板也要退了，也是当一天和尚敲一天钟。 在政府机构真的会让人变得越来越躺平

不了解你的工作内容，有权限改系统吗，我印象中政府机构用的软件一般是买的，出了问题也是找公司负责，不会指望躺平的大叔大妈来解决这种问题。

那就等新老板上来再婉转的讲

你可考虑加log，或者意外发生时，送出来一些email或者系统通知。改逻辑风险很大。万一你一个疏忽就出大问题了。你怎么知道这个电话号码有没有其他相关逻辑在系统里。 前一段我看treasury direct 的网站改版，结果登陆直接塌了。过几天我看到他们roll back到旧的登陆系统了
teabucket 发表于 2022-12-07 01:28

这也是我担心的，万一以后要加新的功能，那么这个安全隐患不彻底改会有更多麻烦。 谢谢你耐心回答我的问题。看来我还有很多细节没考虑到

听你这么说 感觉做的事情和企业文化不符 与人家拿的工资不匹配 额 必然别人反对 重要的话 不如直接说这个要做 分配给谁谁做 帮他们分工 而不是商量的语气

那就等新老板上来再婉转的讲
dazui2020 发表于 2022-12-07 01:31

OK，那我也得压一压一些想法了，觉得自己有点上头了…

你是不爽第一次作为manager提出的想法被否定，还是在意security漏洞会被钻空子造成损失？想明白你为什么一定想做成这件事，也就能想明白有没有必要力争。
不是每个bug都要立刻马上修复的，取决于影响和不做这个把时间花在别的事情的收益等等，你可以先写个ticket然后慢慢论证是不是需要做。

你是不爽第一次作为manager提出的想法被否定，还是在意security漏洞会被钻空子造成损失？想明白你为什么一定想做成这件事，也就能想明白有没有必要力争。
不是每个bug都要立刻马上修复的，取决于影响和不做这个把时间花在别的事情的收益等等，你可以先写个ticket然后慢慢论证是不是需要做。
hellosmallworld 发表于 2022-12-07 01:36

都有吧，可能前者更多点，我没想到是大家根本不在乎我说了什么。直接否定了。 我之前那个manager是个黑人大妈，反正她年纪也大了，也不喜欢学习新东西，就和大家一起摆烂。毕竟我们单位也没有什么股票，也没有业绩。 我本想改变一点什么，发现自己什么都改变不了

听你这么说 感觉做的事情和企业文化不符 与人家拿的工资不匹配 额 必然别人反对 重要的话 不如直接说这个要做 分配给谁谁做 帮他们分工 而不是商量的语气
chouabao 发表于 2022-12-07 01:36

好的，我改变一下方法试试

最近组里的manager退了，我刚好比较年轻就顶上去了。我从小到大都没当过领导，也不懂什么管理。 我们是政府机构，组里都是一帮养老的，躺平的大叔大妈们。 最近我发现我们的系统有一个bug，就是比如A用手机号注册的信息，如果A换手机号了，B恰好用了A之前的手机号，那么B就可以用手机OTC登陆A的账号，看到A所有信息。
我就和组里商量，要不要把这个bug改了。却被组里一致觉得我是没事找事，他们都觉得这个bug发生概率很小，可以忽略不计，既然大boss都没有说需要修复，那就继续这样吧… 其实，我一个人慢慢写，应该可以自己整完。我没想到第一次提出意见，而且还是我认为比较重要的东西，就得到全组一致反对。我又是口语不太好的人，在白大妈们你一言我一语的攻势下，瞬间石化了，一句话都说不出来。 我该继续和大家一起摆烂，还是坚持自己把这个事情做完了？
Jessicali0707 发表于 2022-12-07 01:17

这不是bug 这是security漏洞了
你们公司到底做什么的，怎么可以对这种事情都无所谓？
爆名字吧，我绝对不会再用你们的任何产品和服务

看帖不仔细。那是政府机构，一向如此，你还躲不开

这不是bug 这是security漏洞了
你们公司到底做什么的，怎么可以对这种事情都无所谓？
爆名字吧，我绝对不会再用你们的任何产品和服务

Cumberbitch 发表于 2022-12-07 01:42

又不是大公司

新idea最好私下找大家1:1聊聊，探探口风，摸清了大家的意思，确定大部分人会站在你这边再在组会上公开说一下。

什么系统只要手机号码就可以登陆账号？难道密码形同虚设？

新idea最好私下找大家1:1聊聊，探探口风，摸清了大家的意思，确定大部分人会站在你这边再在组会上公开说一下。
kittenpuppyplay 发表于 2022-12-07 01:51

那肯定没人愿意站我，大家都摸鱼习惯了

有的时候可以躺平，有的时候还是得稍微积极一点点