Вопрос: нарушение безопасности Dropbox и как это происходит в производственной среде

Question

Для справки: http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/. Может кто-нибудь объяснить мне, как эта ошибка может произойти, если они должным образом протестировали ее на промежуточном сервере с идентичной рабочей средой? Я пытаюсь понять, была ли это просто случайная ошибка, которая могла случиться с кем-либо, или это была просто халатность с их стороны. Спасибо заранее за любой вклад!

Answer 1

Часто все сводится к тому, насколько обширной может быть фаза тестирования - слишком часто бюджет идет на то, чтобы продукт выглядел хорошо для клиентов или выходил к определенному сроку.

Чрезвычайно редко можно найти компанию, которая с самого начала проводит тестирование безопасности и проводит его в соответствии с требованиями. Расходы на безопасность почти всегда сокращаются первыми, когда проект превышает бюджет или время.

Так что я предполагаю, что во время было достаточно времени, чтобы соответствовать основным функциональным тестам и тестам безопасности с «наибольшим риском», а затем оно было выпущено.

Answer 2

Полагаю, это может случиться с каждым, кто тестирует - в конце концов, после того, как вы несколько лет тестировали очень безопасную систему Dropbox, вам не нужно тестировать пустые пароли, но я думаю, что это халатностьчасть команды разработчиков.Когда вы думаете об этом, просто нет такого недостатка, который мог бы быть непреднамеренным (возможно, разработчики хотели попробовать его и не должны продолжать вводить пароли - я не знаю), потому что они должны использовать хеширование и все, идаже если они даже не защищают от внедрения каким-либо образом, пустой пароль никогда не сможет сравниться.

Я не в команде разработчиков Dropbox, поэтому я не знаю, что именно произошло.Все, что вы можете сделать, это угадать.Я, вероятно, совершенно неправ в этом, и, возможно, это была какая-то небольшая техническая проблема, которую можно было легко пропустить.Я не знаю.