È responsabilità e responsabilità di entrambi

I problemi di base della sicurezza tendono ad avere qualcosa a che fare con il comfort e l'eccessiva sicurezza (ad es. sicurezza attraverso l'oscurità). Se conosci un modo per coprire un buco di sicurezza, fallo, non esiste "troppa sicurezza".

... non è così difficile

Ad esempio, il Joomla! Il team di progetto inserisce un file index.html vuoto in ogni directory per impedire che l'elenco delle directory e i framework come Symfony e Ruby on Rails abbiano un'unica directory pubblica a cui è necessario collegarsi sul lato pubblico dell'account del server.

Non essere mai pigro quando si tratta di sicurezza

Dipende dalle politiche di sicurezza della tua organizzazione. In alcune aziende, di solito più piccole, dovevo fare tutto. In altri, non mi è stato nemmeno consentito l'accesso ai server Web di produzione e gli amministratori dovevano installare le mie app e fare tutte le configurazioni del server, a volte mentre guardavo da dietro per assicurarmi che tutto fosse eseguito correttamente.

In sostanza, se il tuo datore di lavoro dice che è tuo dovere, è tuo dovere. Allo stesso modo, se dicono che gli sviluppatori non possono accedere alle caselle di produzione, non è il tuo dovere al di là di assicurarsi che l'amministratore sappia cosa fare.

È compito dei programmatori risolvere qualsiasi problema che riguardi la loro applicazione. Se l'elenco delle directory è un problema di sicurezza per la tua applicazione, allora prendi provvedimenti per correggerlo. Le buone applicazioni non devono fare affidamento troppo sull'affidabilità degli amministratori.

Se può essere fatto a livello di programmazione, dovrebbe essere scritto nell'app dal programmatore.

Se deve essere eseguito attraverso un processo amministrativo e tu hai un 'amministratore', l'amministratore dovrebbe farlo.

In entrambi i casi, i due ruoli dovrebbero essere complementari, non contraddittori.

Hai provato a risolverlo da soli, ma qui c'è un vicolo cieco. Il responsabile deve: intervenire, prendere una decisione e applicare la decisione.

Ci sarebbero dovute essere delle specifiche che ciò fosse necessario o non necessario (ciò potrebbe essere basato sulla decisione del responsabile). Questo è un buon candidato per mettere su una lista di controllo di sicurezza del sito web. L'amministratore dovrebbe sapere se questo è impostato correttamente.

Buona cattura da parte del programmatore. Continua a combattere.

Ho già affrontato situazioni simili prima. Ecco cosa fai:

1. Chiama un incontro. Invita chiunque sia coinvolto, incluso un manager.
2. Esegui l'incontro: esponi la situazione per tutti e suggerisci un paio di possibili soluzioni.
3. Assicurati che QUALCUNO si impegni a risolvere il problema durante la riunione.
4. Invia le note dopo la riunione a tutti i partecipanti che ricordino loro chi risolverà il problema.

Semplicemente, è un lavoro da programmatore. Un programmatore può caricare la sua applicazione senza sicurezza & test, quindi sedersi per un amministratore di sistema per aggiungere la sicurezza per lui? Certamente no. Un programmatore professionista non lo farà. Un programmatore professionista si prenderà la responsabilità di rendere sicuro il suo codice.

È dovere del programmatore proteggere il suo codice e la sua applicazione, se ha il controllo per caricare il codice e poter usare htaccess, allora perché non usare l'indice lì. Spesso cpanel e altri server Web hanno gli indici di directory abilitati, nessun buon programmatore può lasciare documenti, zip e script importanti nella root dei documenti.

Entrambi. È un problema che deve essere risolto. Se il programmatore può farlo, perché non farlo? Se l'amministratore può farlo, perché non farlo? Se il programmatore non può, è ovviamente responsabilità dell'amministratore, ma il requisito dovrebbe (probabilmente) essere stato documentato nei documenti di rilascio.

Se è all'interno dell'applicazione, è responsabilità dei programmatori

Se è esterno all'applicazione, è responsabilità dell'amministratore