Security 关于Dropbox安全漏洞的问题，以及这在生产环境中是如何发生的

供参考：。有人能向我解释一下，如果他们在与生产环境相同的登台服务器上正确测试了这个错误，那么这个错误是如何发生的吗？我想知道这是否只是一个可能发生在任何人身上的随机错误，或者只是他们的疏忽。任何输入，请提前发送Thx

我想这可能发生在测试中的任何人身上——毕竟，在您测试了一个非常安全的Dropbox系统几年之后，您不需要测试空白密码——但我认为这是开发团队的疏忽。仔细想想，像这样的漏洞绝不可能是无意的（也许开发人员想尝试一下，不必一直输入密码——我不知道），因为他们应该使用散列和所有方法，即使他们甚至没有以任何方式防止注入，空密码也永远不会匹配

---

我不是Dropbox开发团队的成员，所以我不知道到底发生了什么。你所能做的就是猜测。我可能完全错了，也许这是一个很容易被忽视的小技术问题。我不知道

我想这可能发生在测试中的任何人身上——毕竟，在您测试了一个非常安全的Dropbox系统几年之后，您不需要测试空白密码——但我认为这是开发团队的疏忽。仔细想想，像这样的漏洞绝不可能是无意的（也许开发人员想尝试一下，不必一直输入密码——我不知道），因为他们应该使用散列和所有方法，即使他们甚至没有以任何方式防止注入，空密码也永远不会匹配

---

我不是Dropbox开发团队的成员，所以我不知道到底发生了什么。你所能做的就是猜测。我可能完全错了，也许这是一个很容易被忽视的小技术问题。我不知道

这通常取决于测试阶段的范围有多广——预算经常用于确保产品在客户面前看起来不错，或者在特定的截止日期前推出

很少有公司从一开始就进行安全测试，并按要求进行上线。当项目超出预算或时间时，安全支出几乎总是第一个被削减的

---

因此，我的猜测是，在进行主要功能测试和“最高风险”安全测试的过程中，有一个时间预算，然后它就发布了。

这通常取决于测试阶段的范围有多广-预算经常用于确保产品在客户看来很好，或者在特定的截止日期前离开

很少有公司从一开始就进行安全测试，并按要求进行上线。当项目超出预算或时间时，安全支出几乎总是第一个被削减的

---

---

因此，我的猜测是，在进行主要功能测试和“最高风险”安全测试期间，有足够的时间预算，然后发布。

thx以供回复。他们至少应该有一个测试套件来检查bug吗？我真的不明白Dropbox这样的公司怎么会允许这样的事情发生。@blacktie24：他们可能应该——我不知道他们是否真的这样做了。这只是一个很明显的错误，也许他们忽略了它。也许有人在不知道自己在做什么的情况下把代码弄乱了。高级经理：“嗯，我需要插入这张图片，我想我10岁的儿子知道一些html，我不应该打扰程序员。”谢谢回复。他们至少应该有一个测试套件来检查bug吗？我真的不明白Dropbox这样的公司怎么会允许这样的事情发生。@blacktie24：他们可能应该——我不知道他们是否真的这样做了。这只是一个很明显的错误，也许他们忽略了它。也许有人在不知道自己在做什么的情况下把代码弄乱了。高级经理：“好吧，我需要插入这张图片，我想我10岁的儿子知道一些html，我不应该打扰程序员”在security.stackexchange.com上的主题比这里更多。建议迁移。@Rory Alsop，对不起，我总是处于堆栈溢出状态，所以这只是习惯。希望国防部能帮我移动它@投否决票的人，为什么投否决票？这只是一个问题，sheesh。Downvote不是我-我认为这是一个好问题，只是针对另一个SE网站：-）@Rory Alsop，我不认为是你：），我想更多的是dropbox公关/社交媒体部门或某个粉丝。更多的话题在security.stackexchange.com而不是这里。建议迁移。@Rory Alsop，对不起，我总是处于堆栈溢出状态，所以这只是习惯。希望国防部能帮我移动它@投否决票的人，为什么投否决票？这只是个问题，sheesh。否决票不是我-我认为这是一个好问题，只是针对另一个SE站点：-）@Rory Alsop，我不认为是你：），我想更多的可能是dropbox公关/社交媒体部门或某个粉丝。当然，一个空密码会被归类为“最高风险”，我想不出有什么可怕的事情，但如果更改似乎没有触及密码（即代码被更改为其他内容，这是一个意外）那么这个风险可能不会出现在他们的列表上。如果他们有一个标准的测试套件，那么肯定很容易发现这个bug。这让我很困惑，像Dropbox这样大的公司，对他们来说安全性如此重要，怎么会没有任何回归测试。@blacktie-这就是问题所在。许多公司希望拥有开发人员想要使用的标准测试套件，但在截止日期临近或预算取消时，这些套件会被部分丢弃。我同意这是错误的，我会很高兴的