我们公司在开发一个面向企业内部员工的ERP系统和一个对应的VIP客户使用的客户端
今天和同事讨论到是否应该对每一个实体做授权判断以避免猜测ID攻击。
一个是发生概率*危害程度
一个是偷懒,对一个危害性小的并且了然于胸的隐患的偷懒
一个是成本,雇佣者从来没有预算这种“为了应对可能的隐患而做的工作量”,所以如果你去做了,那么这应该算作“自愿加班”
如果雇佣者明确提出了需要考虑和应对可能的安全隐患,那么我们确实需要增加预算并妥善处理它,
但是如果雇佣者的目的是如我在上一篇所说的为了完成绩效目标,
那么就完全没有必要“凭良心”来做这些额外的工作,因为企业不会为你的良心付费