如果用户想要一个功能,该功能请求的优先级较低,但是用户会发现并利用一个错误,允许获得与该功能存在时相同的结果,作为开发人员应该怎么做?我应该修复错误(并丢失“功能”)吗?
注意:该错误不是安全威胁,也不是数据完整性威胁。
场景#2:我们不知道用户是否将该漏洞用作“功能”。同样的问题。
答案 0 :(得分:0)
我觉得这取决于。如果他们没有恶意使用它,我会继续让他们使用漏洞,然后确保无论何时实际实现该功能,您都要使其符合漏洞利用的方式,同时保证用户免受崩溃和等。
我的意思是,如果我一直在使用漏洞来启用某个功能,突然间我无法使用我正在做的任何工作,我会感到很沮丧。此外,当然要确保告诉用户该漏洞已经修复,并且只要您开始执行此操作就会替换为功能。
答案 1 :(得分:0)
嗯,这更像是个人偏好而不是编码的问题,但是......
如果知道人们正在使用这个错误/功能并假设我们100%确定该错误不是安全威胁,那么我会把它留在那里直到我可以正确实现该功能。
我不想冒着让用户使用服务的风险(即使这意味着他们必须暂时使用错误来执行他们想要的操作)。
但是,如果您认为没有人使用该错误或者它可能是我的安全威胁,我会修复它。
答案 2 :(得分:0)
我认为你有两个选择: 选项1: 通过对错误进行深入研究,确保错误不是安全威胁或数据完整性威胁。如果您发现使用该漏洞确实没有风险,您可以使用它并可能进一步开发以获得良好的用户体验。
选项2:禁用它以您想要的方式开发并释放它。