請問大家 如果程式開發人員,將授權 系統管理者帳號邏輯 hard code寫在程式碼裡面 ,判斷登入人員ID是否為 "XXXX" ,在資安的風險上來看 會有甚麼樣的問題,希望大家可以提供一些可能的問題。 謝謝大家
已邀請的邦友 {{ invite_list.length }}/5
如果以資安的角度來講,就是當所有的人員(含高階主管)職務異動或離職時,程式設計師有沒有辦法第一時間知道?如何能及時(早上公告,下午就要搞定)配合修改帳號權限的所有程式碼?如何確保每隻程式都有修改到?
若系統是Client/Server架構,只能在公司內的電腦上跑的可能還好,離職的人用不到公司的電腦(公司內有架VPN/Citrix/遠端桌面的還是用的到,風險就如同下段要提的Web架構),職務輪調也通常會有交接期讓程式設計師慢慢改。
如果是Web系統還放著Internet上那就有趣了,說不定幾年前離職的人還常常連回來看前公司查訂單/產品價格/成本資料/設計資料.....
建議改用群組方式判斷
不然如果要增加或減少系統管理者帳號時
每次都還得改Code
資安的風險
不在系統管理者帳號的判斷
而在登入驗證是否沒有漏洞
以及系統管理者帳號到底有那些功能?
iThome鐵人賽
看影片追技術