Sei obbligato a fornire ai vecchi datori di lavoro l'accesso alle risorse protette? [chiuso]

6

In primo luogo, un disclaimer. Questa domanda non è perché sono un impiegato insoddisfatto che pianifica di nascondere un codice malevolo che posso successivamente ricattare con il mio datore di lavoro. In realtà mi piacciono molto le persone con cui lavoro - semplicemente curioso.

Quindi, se un vecchio datore di lavoro aveva bisogno di una password per qualche risorsa che avevo solo io. Sarei obbligato a darlo a loro o potrei (probabilmente incautamente) attaccarlo a loro e rifiutare o addebitare una tassa "di consulenza" scandalosa per fornire tale password?

O se avessi progettato un componente per loro come una sorta di strato di sicurezza crittografato sottostante che richiedesse una chiave hash che avevo solo io, sarei obbligato a darglielo?

Questi due scenari sono generalmente la colpa del datore di lavoro, ma cosa succede se nel terzo scenario, ho costruito questo componente in modalità invisibile, senza che loro effettivamente lo sapessero? Non intendo necessariamente che il componente sia stato costruito con l'unico intento di bloccare il datore di lavoro in futuro, potrebbe avere effettivamente un buon scopo - non è mai stato documentato come funzionava perché l'azienda aveva scarsi processi di documentazione o gli sviluppatori erano troppo occupato ecc.

In tale scenario, quando finalmente avranno bisogno di questa chiave di hash, sarei obbligato a fornirlo?

    
posta RoboShop 27.04.2011 - 05:44
fonte

8 risposte

10

Se sono un precedente datore di lavoro, significa che il lavoro che hai fatto per loro appartiene a loro, quindi , dovresti darlo a loro. In effetti, potresti essere legalmente obbligato a farlo. Idealmente avresti dovuto dare loro tutto prima di partire. Ancor più idealmente, prima di partire dovresti dare loro tutto e non ne ha conservato una copia.

Quando si tratta di cose come algoritmi che non possono capire o il tuo successore non riesce a capire ... non è un tuo problema. Aiutali o non li aiuti come richiedono la tua coscienza e il tuo portafoglio.

    
risposta data 27.04.2011 - 05:55
fonte
29

Quando sono stato lasciato andare da un posto di lavoro recente, ho preso l'approccio di dire loro direttamente su quali sistemi avevo accesso e ho chiesto che mi negassero l'accesso immediatamente. Li ho fatti cambiare password, ho detto loro le posizioni di tutte le chiavi segrete, disattivato i miei codici di porta, ecc., E prevenuto preventivamente il problema. Allora ho chiesto loro di scrivere una lettera dicendo che lo facevano.

Pensavo che fosse il modo migliore per liberarmi di qualsiasi potenziale gancio. Se dopo avessero avuto problemi, era abbastanza chiaro che era il loro problema e non il mio.

    
risposta data 27.04.2011 - 06:22
fonte
13

Per non fornire le chiavi nelle situazioni che hai descritto sarebbe:

  1. non etico
  2. Unprofessional
  3. Immaturo
  4. .. Non sono un avvocato, quindi non dirò "illegale", ma dirò che il tuo ex datore di lavoro probabilmente ha più avvocati a sua disposizione di te, e ci sono buone probabilità che ti ritrovi ringhiato in una causa.

Hai ragione a dire che sarebbe "imprudente" cercare di attenersi a un ex datore di lavoro sfruttando la loro scarsa documentazione per tenerli in ostaggio.

    
risposta data 27.04.2011 - 05:53
fonte
3

Sei assolutamente obbligato ad assicurarti che abbiano copie di cose come questa. E capisci perché. Questo è quello che significa essere un professionista. Legalmente probabilmente dipende da chi sta pagando l'avvocato, ma in pratica ... lascia un'impressione positiva.

Anche non conservare una copia è importante. Ma più importante è rendere veramente, davvero chiaro che hanno bisogno di avere una copia di quello che è e perché. Ho lasciato un posto in cui ho contratto con due copie di un CD con il codice, la chiave e l'eseguibile, nonché le istruzioni per fare di più e una chiave USB con la chiave privata critica su di esso. Perché? Era la chiave del loro sistema di fatturazione che permetteva loro di decifrare (e quindi fatturare) i dettagli delle carte di credito dei clienti. Senza quella chiave dovevano contattare ogni cliente e ottenere di nuovo i dettagli della carta di credito. Sono stato lì in parte per risolvere il problema dei dettagli CC presenti nel database in chiaro (e visibile ai CSR).

Una cosa che lascio con i datori di lavoro quando vado è una lista di tutti i nomi utente e le password che ho generato mentre lavoravo lì. Se penso che sia necessario genererò un nuovo OpenID per ottenere un set di account SO solo per quel datore di lavoro. Più spesso sono i forum di supporto per il software che hanno acquistato. Ma qualunque cosa sia, hanno pagato, lo possiedono. Questo aiuta anche il prossimo a sedersi al mio posto - hanno un'idea di cosa esattamente ho fatto dai post del forum, e non si stanno sforzando di capire come accedere al server Db di sviluppo o qualcosa del genere, perché loro " ri tutto nella lista.

    
risposta data 27.04.2011 - 06:21
fonte
3

Quando si tratta di proprietà della società, forse dobbiamo evitare:

a resource that only I had

Sort of the 'hit by bus' o 'won the lottery'. Niente è perfetto, ma sulla base di molte risposte è qualcosa da considerare.

    
risposta data 27.04.2011 - 20:55
fonte
2

Non toccherò il legale: non sono un avvocato. Tutte e tre le opzioni mi sembrano abbastanza schematiche che, in uno scenario del mondo reale, il mio consiglio sarebbe "non passare, andare direttamente all'avvocato".

Nell'ipotetico, penso che devi chiedere, che gioco stai cercando di vincere? Penso che, in termini etici, sei obbligato a fornire password, chiavi e informazioni su qualsiasi cosa tu abbia sviluppato (apertamente o segretamente) all'interno del sistema, anche se il datore di lavoro non chiede. Sono sicuro che gli avvocati possono avere una lotta grande e costosa a riguardo, ma avrei problemi nel rispettare un ingegnere che non ha fatto una specie di rinuncia a questa natura.

Penso che sia anche contrario all'interesse personale illuminato. A lungo termine, vuoi:

  • una grossa valigia in contanti per 1 volta - probabilmente non abbastanza per andare in pensione.
  • una reputazione per essere etici, utili e decenti?

A lungo termine, penso che quest'ultimo ti farà guadagnare di più.

So che se fossi in grado di essere tuo collega, sarei propenso a consigliarti per posti di lavoro in futuro, se potessi contare su di te risparmiando qualche minuto per ottenere le informazioni che ti sono state pagate per fornire c'era una volta quando - anche se te ne sei andato da molto tempo, anche se non ti è stato chiesto nel tuo colloquio di uscita, anche se hai dato alla compagnia le informazioni e l'hanno perso. In genere, la mia aspettativa è che gli ingegneri si aiutino a vicenda.

Se so di poterne contare uno su qualcuno, anche dopo aver lasciato il gruppo / il progetto / la società, allora farò di tutto per lavorare per loro o fare una buona svolta in futuro. Se penso che io e la mia compagnia ci troveremo a bocca aperta quando chiediamo un'informazione che richiede 5 minuti, allora farò di tutto per evitare di lavorare con la persona in futuro. Tuttavia, compro pranzi gratuiti per il diritto di scegliere il cervello degli ex colleghi.

NOTA: questa è la mia ipotesi: ci vogliono da pochi secondi a 10 minuti per trovare le informazioni e fornirle. Se parliamo ore o giorni, allora è, IMO, OK per chiedere un po 'di soldi per coprire il tempo ... 10 minuti è cortesia professionale, 2 ore è un contratto di supporto. Detto questo, rendi ragionevole la commissione, non la tariffa "Ti ho sopra il barile".

    
risposta data 27.04.2011 - 17:29
fonte
2

Quindi, se un vecchio datore di lavoro aveva bisogno di una password per qualche risorsa che avevo solo io. Fornirei tutte le chiavi e ecc. Quando me ne sono andato. Se avessi dimenticato qualcosa, lo spedirei via email. Sono d'accordo con gli altri commenti e Carson63000, è un'opzione più sicura. Tuttavia al di fuori di questo, non è necessario offrire alcun tipo di supporto o dare loro alcun aiuto. Anche se hai costruito la tua API di terze parti al di fuori del lavoro e vendi questa API ad altre terze parti o l'hai costruita prima di lavorare nel tuo precedente lavoro. Beh, io non sono un avvocato, non credo che abbiano diritto alla fonte. Essere professionisti è sempre il modo migliore, per il tuo futuro nel settore.

    
risposta data 27.04.2011 - 06:59
fonte
1

Non toccherò gli aspetti legali di questo, ma dirò che agirei come vorrei che qualcun altro agisse se fossi il capo. IE Non essere un idiota.

Se non altro il mondo dell'alta tecnologia è abbastanza piccolo che ottenere una reputazione e uno strattone è un buon modo per uccidere i lavori futuri. Davvero Se esci assicurati che le password siano cambiate e l'accesso sia revocato. Ti proteggerà dai mal di testa più tardi.

    
risposta data 27.04.2011 - 21:35
fonte

Leggi altre domande sui tag