回复 1楼的帖子 完全不需要改。用户自己负责电话号码的更新 teabucket 发表于 2022-12-07 01:19
最近组里的manager退了,我刚好比较年轻就顶上去了。我从小到大都没当过领导,也不懂什么管理。 我们是政府机构,组里都是一帮养老的,躺平的大叔大妈们。 最近我发现我们的系统有一个bug,就是比如A用手机号注册的信息,如果A换手机号了,B恰好用了A之前的手机号,那么B就可以用手机OTC登陆A的账号,看到A所有信息。 我就和组里商量,要不要把这个bug改了。却被组里一致觉得我是没事找事,他们都觉得这个bug发生概率很小,可以忽略不计,既然大boss都没有说需要修复,那就继续这样吧… 其实,我一个人慢慢写,应该可以自己整完。我没想到第一次提出意见,而且还是我认为比较重要的东西,就得到全组一致反对。我又是口语不太好的人,在白大妈们你一言我一语的攻势下,瞬间石化了,一句话都说不出来。 我该继续和大家一起摆烂,还是坚持自己把这个事情做完了? Jessicali0707 发表于 2022-12-07 01:17
我也觉得不太可能。你是怎么发现这个bug的呢?先确认这个bug是不是真实存在吧,然后看下影响的用户有多少,比如说过去一年有多少用户改了手机号。做之前这些analysis还是要做的。要不然确实难以justify temphan 发表于 2022-12-07 01:23
我们网站不需要,这是个遗留的安全漏洞。一言难尽… Jessicali0707 发表于 2022-12-07 01:21
政府机构改革很难 楼主刚上任 还是观察一下不要操之过急 如果实在觉得有改的必要 可以先跟大老板反应一下 看看老板的意思 workinghands 发表于 2022-12-07 01:22
你可考虑加log,或者意外发生时,送出来一些email或者系统通知。改逻辑风险很大。万一你一个疏忽就出大问题了。你怎么知道这个电话号码有没有其他相关逻辑在系统里。 前一段我看treasury direct 的网站改版,结果登陆直接塌了。过几天我看到他们roll back到旧的登陆系统了 teabucket 发表于 2022-12-07 01:28
那就等新老板上来再婉转的讲 dazui2020 发表于 2022-12-07 01:31
你是不爽第一次作为manager提出的想法被否定,还是在意security漏洞会被钻空子造成损失?想明白你为什么一定想做成这件事,也就能想明白有没有必要力争。 不是每个bug都要立刻马上修复的,取决于影响和不做这个把时间花在别的事情的收益等等,你可以先写个ticket然后慢慢论证是不是需要做。 hellosmallworld 发表于 2022-12-07 01:36
听你这么说 感觉做的事情和企业文化不符 与人家拿的工资不匹配 额 必然别人反对 重要的话 不如直接说这个要做 分配给谁谁做 帮他们分工 而不是商量的语气 chouabao 发表于 2022-12-07 01:36
这不是bug 这是security漏洞了 你们公司到底做什么的,怎么可以对这种事情都无所谓? 爆名字吧,我绝对不会再用你们的任何产品和服务 Cumberbitch 发表于 2022-12-07 01:42
新idea最好私下找大家1:1聊聊,探探口风,摸清了大家的意思,确定大部分人会站在你这边再在组会上公开说一下。kittenpuppyplay 发表于 2022-12-07 01:51
我们网站不需要,这是个遗留的安全漏洞。一言难尽…
和security有关的事,你老板居然不上心,这太奇怪了。 不过如果我老板没说让改的,我绝对不改,做多错多。 除非你野心大要有本事抢你老板的位置,干活的话学新技能比把系统做好有用,当然是说政府部门的系统,不是说大厂高大上的东西。
发现这个bug是我测试时候发现的,主要在于我们也看不到feedback,毕竟都是骂声一片,所以索性就不看了。
这就是我很难做的原因……组里其他人觉得安安静静拿工资养老很舒服,感觉大家都不想找事。
你可考虑加log,或者意外发生时,送出来一些email或者系统通知。改逻辑风险很大。万一你一个疏忽就出大问题了。你怎么知道这个电话号码有没有其他相关逻辑在系统里。 前一段我看treasury direct 的网站改版,结果登陆直接塌了。过几天我看到他们roll back到旧的登陆系统了
大老板也要退了,也是当一天和尚敲一天钟。 在政府机构真的会让人变得越来越躺平
这也是我担心的,万一以后要加新的功能,那么这个安全隐患不彻底改会有更多麻烦。 谢谢你耐心回答我的问题。看来我还有很多细节没考虑到
OK,那我也得压一压一些想法了,觉得自己有点上头了…
不是每个bug都要立刻马上修复的,取决于影响和不做这个把时间花在别的事情的收益等等,你可以先写个ticket然后慢慢论证是不是需要做。
都有吧,可能前者更多点,我没想到是大家根本不在乎我说了什么。直接否定了。 我之前那个manager是个黑人大妈,反正她年纪也大了,也不喜欢学习新东西,就和大家一起摆烂。毕竟我们单位也没有什么股票,也没有业绩。 我本想改变一点什么,发现自己什么都改变不了
好的,我改变一下方法试试
这不是bug 这是security漏洞了
你们公司到底做什么的,怎么可以对这种事情都无所谓?
爆名字吧,我绝对不会再用你们的任何产品和服务
又不是大公司
那肯定没人愿意站我,大家都摸鱼习惯了