Меню
Что нового?

безопасность - выдавать ли ошибки?

Ruzzz

Новичок
безопасность - выдавать ли ошибки?

Вот думаю так, проверять то что прислали в запросе, но если ошибка явно из-за того что подменены данные в форме(скрытие поля) или в строке браузера подменили ссылку (если метод get) то не париться и не выдавать подробный отсчет об ошибке, ведь у простого юзера такая ситуация сложится не могла. Как думаете?
 
zerkms

zerkms

TDD infected
Команда форума
никакой пользователь не должен видеть никаких подробностей об ошибке
и вообще - не обязательно ему даже говорить, что это ошибка
 
AmdY

AmdY

Пью пиво
Команда форума
Ага, пользовотелю ни намёка на ошибку, просим ввести данные ещёё раз, а сами тихонько пишем в лог
 

Popoff

popoff.donetsk.ua
а я считаю, что нужно выдавать сообщение об ошибке, потому что совсем не факт, что что-нибудь не проглючит и у рядового пользователя не возникнет та самая невозможная ситуация. так он будет хотя бы знать, что это на сервере что-то не так, а не сам пользователь что-то не так делает. я обычно в подобных невозможных случаях вывожу пользователю "ошибка сервера", а подробности записываю в журнал.
 
HraKK

HraKK

Мудак
Команда форума
Popoff
Это еще приемлимо, а вот разьяснять я думаю не стоит.
 

Sluggard

Новичок
Почему тебя заботит, если "в строке браузера подменили ссылку"? Сообщения о некорректно введенных данных, а также "У Вас не достаточно прав для просмотра этой страницы", "Вам отказано в доступе", "Эту страницу могут просматривать только авторизованные пользователи", а иногда даже жесче "Такой страницы не существует" просто необходимо выводить.
 
Войдите или зарегистрируйтесь для ответа.
Сверху