データベースのフィールドと値が公開されるコード変更

Question

私の会社には、システムのさまざまな部分のすべてのコードを完全に書き直している新しい開発チームがあります。

最近の変更の1つで、データベースに存在するすべてのフィールドのJSONデータと、ユーザーがログインしているアカウントの特定のセクションのデータベースに存在する各フィールドの値を確認できるようになりました。 Chromeのデベロッパーツールを使用するだけです。

これは情報セキュリティの観点から悪い考えですか？なぜか、なぜそうでないのか？

免責事項：私はどの開発チームのメンバーでもありませんが、セキュリティ上の懸念がある場合は適切に対処できるように、他の人に知らせたいと思います。

Conor Mancone · Answer

セキュリティがバイナリの命題になることはめったにありません。何かがセキュリティの問題であるかどうかは、状況によって異なります。猫の写真の匿名投票サイトに必要なセキュリティの種類は、大統領が核攻撃を開始するのに必要なセキュリティとは異なります。その結果、これがセキュリティ上の問題であるかどうかを判断できるのは開発チームだけです。

明らかなことは、データにアクセスできることです。これが問題であるかどうかを判断するための次の質問は非常に簡単です：問題のユーザーはこのデータにアクセスできるはずですか？

見つかったデータが、アプリケーションを介してユーザーが通常アクセスできるデータである場合、それは実際にはまったく問題ではありません。ユーザーがまだ情報を表示するように要求していないために、ページに表示されていない情報が開発者ツールにある場合がたくさんあります。ただし、これによって人々がアクセスするはずのないデータにアクセスできる場合は、間違いなく問題です。