Come rifiutare di fornire un accesso alle password a un cliente senza essere poco professionale o maleducato?

8

Diciamo che stai creando un sito Web per un cliente. Questo sito Web ha una propria registrazione (combinata con OpenID o no). Il cliente ti chiede di essere in grado di vedere le password che gli utenti scelgono, dato che gli utenti probabilmente useranno la stessa password su ogni sito web.

In generale, dico:

  • o che è impossibile recuperare le password, dal momento che non sono memorizzate in testo normale, ma con hash,

  • o che non ho il diritto di farlo o che gli amministratori non devono poter vedere le password degli utenti, senza fornire ulteriori dettagli.

Il primo è falso: anche se le password sono sottoposte a hash, è ancora possibile catturarle e memorizzarle su ogni accesso (ad esempio facendo uno strano tipo di controllo che ricorderà non solo quale utente ha avuto successo o non è riuscito ad accedere, ma anche con quale password). Il secondo è maleducato.

Come rifiutare questa richiesta, senza essere poco professionale o scortese?

    
posta Arseni Mourzenko 02.06.2012 - 11:44
fonte

6 risposte

11

Digli la prima parte. Che stai memorizzando le password in un hash. E che tutti i sistemi di password funzionano in questo modo. L'amministratore può cambiare le password, reimpostare le password, ma non può leggere le password. Se il cliente è esperto di programmazione, potrebbe sapere che è possibile intercettare le password prima dell'hash.

Passa ora alla seconda parte. Il sito ha una politica sulla privacy o termini d'uso. L'utilizzo del sito per raccogliere le password sarebbe in violazione della maggior parte di queste politiche. Se il cliente è insistente nel raccogliere queste informazioni, spiega che ciò renderebbe il suo sito inutile e una città fantasma se la comunità non poteva fidarsi del sito.

Se diventa chiaro che il loro intento è quello di rubare le password. Correre. Trova un nuovo lavoro o un nuovo contratto. Se lavori per un'azienda in questo contratto, digli cosa sai.

    
risposta data 02.06.2012 - 13:31
fonte
3

Il sito web ha una "Informativa sulla privacy"? E questa affermazione include qualcosa su come distribuire "informazioni sensibili"?

In tal caso, probabilmente direi: "Non sono libero di distribuire informazioni sensibili su quelle dell'utente. Ciò è in evidente violazione della nostra informativa sulla privacy!" (Il punto esclamativo qui è importante). Se non si dispone di una dichiarazione sulla privacy, direi la stessa cosa, ad eccezione dell'ultima frase.

Le persone che fanno tali domande non dovrebbero ricevere scuse false, come è tecnicamente impossibile. Dovrebbero essere istruiti nella verità, le password dell'utente sono private ed è moralmente ed eticamente sbagliato (e probabilmente anche illegale come qualcuno menzionato) per raccoglierle dal sistema.

    
risposta data 02.06.2012 - 14:26
fonte
2

Dì che non vuoi sperimentare la vita in prigione :) Perché sai che cosa ti chiedono, se è chiaramente per un uso illegale delle password degli utenti, li condurrà a un sacco di grossi problemi. Penso che il modo migliore sia cercare di insegnare loro perché è davvero brutto fare cose del genere.

Ma il vero problema è, imho, il fatto che lavori per ladri mentre non ti piacciono i ladri. Invece di trovare un modo per non essere troppo scortese con le persone che non ti piacciono, non sarebbe meglio se smettessi di lavorare per loro? Ti suggerisco di aggiungere alcune clausole su ciò che non sei pronto a fare nei tuoi contratti futuristici per evitare questo tipo di situazioni.

Ad ogni modo il fatto che tu non sia pronto a fare ciò che ti chiedono di fare perché è illegale ti onora.

    
risposta data 02.06.2012 - 13:25
fonte
1

Ovviamente vuoi essere gentile, potresti indicare che questa richiesta è una richiesta insolita e che richiede l'approvazione da parte delle autorità superiori. Sarebbe bello spiegare l'impatto di questo atto sull'organizzazione e sugli utenti. Questo per garantire che voi e il cliente siete pienamente consapevoli della situazione. Devi tenere tutto per iscritto, naturalmente.

È possibile esprimere la situazione in una dichiarazione politica e chiedere al principale responsabile / gestore del sistema di approvare o rifiutare la politica e utilizzarla come documentazione di backup per la risposta alla richiesta. Potresti anche aggiungere il fatto che gli utenti saranno informati del fatto che le loro password non sono segrete.

È tutta una questione di politica, niente di più e niente di meno.

    
risposta data 02.06.2012 - 11:53
fonte
0

Sicuramente stai memorizzando solo password con hash, quindi è impossibile. Se non hai problemi più grandi. Questa è la risposta corretta.

    
risposta data 02.06.2012 - 13:54
fonte
0

Penso che prima dirò che sono crittografati a senso unico e poi passano a richiedere una richiesta scritta (su carta intestata) (da chiunque sia in carica) così posso presentarla alla polizia / all'FBI (o qualsiasi altra cosa l'equivalente del paese è pertinente) / ecc. se e quando richiesto. Stappalo a una copia delle email in entrambe le direzioni, poi la palla è nel loro campo. Non riesco a vedere nessuna azienda di alcun riguardo a richiederlo, quindi probabilmente è un individuo e probabilmente ritirerebbero la richiesta.

Se mi danno i documenti, allora sono i loro dati, la loro richiesta, se infrangono la loro politica sulla privacy o la legge, quindi è la loro testa.

    
risposta data 04.06.2012 - 14:33
fonte

Leggi altre domande sui tag