Recentemente ho iniziato a lavorare in un nuovo ufficio che utilizza un programma proprietario scritto da uno sviluppatore solista. Occasionalmente lavora come supporto tecnico part-time, ma la società ha firmato questo software e non viene più pagato per svilupparlo.
Come utente del suo software ci sono molti problemi che mi vengono in mente come fonte di preoccupazione:
- molto semplice per visualizzare direttamente il DB come utente con privilegi ridotti
- password memorizzate come testo semplice
- password di amministrazione del dizionario
- app utilizza l'account root del DB
- DB non soddisfa 1NF (ad esempio, appuntamento1, appuntamento2, ecc.)
Credo che questi siano problemi seri e che se fossi in lui vorrei che mi indicassero, ma non sono un programmatore qualificato (sono un assistente sociale) e non so se Sarebbe scortese da parte mia solo ad abbottonarlo e iniziare a blaterare su hash salati e forme normali, specialmente quando questo non è più un compito a pagamento del suo.
È fuori linea? Altrimenti, come lo potresti risolvere?
Modifica: ulteriori informazioni richieste dai commenti:
- L'applicazione contiene dati sensibili.
- È per uso interno, ma funziona su molte macchine in diverse città e molti visitatori arrivano attraverso i nostri uffici.
- Le mie preoccupazioni riguardano i progetti futuri dello sviluppatore e quello specifico dello sviluppatore.