Pytanie:
Czy mój szef może otworzyć komputer i korzystać z niego, gdy mnie nie ma?
Lucas
2016-10-06 17:49:41 UTC
view on stackexchange narkive permalink

W moim miejscu pracy czasami szef reaktywuje mój komputer ze stanu hibernacji i resetuje hasło, aby dostać się do mojego konta Windows.

Wiem, że komputer należy do firmy, ale jestem przyzwyczajony do zapisywania haseł na tym komputerze i martwię się, co on może z nimi zrobić.

Powodem, dla którego to uzasadnia, jest to, że czasami chce wiedzieć, czy w moim komputerze jest coś niezaangażowanego, więc może to zrobić w moim imieniu.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/46442/discussion-on-question-by-lucas-can-my-boss-open-and-use-my-computer-kiedy-im-nie).
Najprawdopodobniej twój szef spojrzał na twoje prywatne wiadomości e-mail i inne dane osobowe (ponieważ jego inne wyjaśnienie nie ma sensu, chyba że jest naprawdę niekompetentny).Weź pod uwagę, że posiadane tam informacje zostały naruszone.Pliki cookie, hasła, klucze itp. Załóżmy, że był w stanie je odzyskać.Zmień je wszystkie.I załóżmy, że znowu zrobi to samo.
Dlaczego po prostu nie robisz wszystkiego automatycznie co 10 minut (lub częściej, jeśli szef sobie tego życzy)?Może to nie rozwiązać twojego problemu, ale przynajmniej twój szef będzie musiał wymyślić nową wymówkę.
Nie wiem, jak duża jest Twoja firma, ale jeśli masz dedykowany personel IT, powinieneś zapytać ich, czy jest to legalne użycie konta administratora (i czy Twój szef powinien MIEĆ dostęp do konta administratora).Jeśli resetuje twoje hasło w trybie offline (na przykład przez ntpasswd boot USB), jest to prawie na pewno naruszenie polityki IT, zakładając, że Twoja firma jest wystarczająco duża, aby mieć formalną politykę IT.
@MaskedMan Jeszcze lepiej, utwórz rozwidlenie głównego repozytorium, w którym zatwierdzasz za każdym razem, gdy zapisujesz plik, i daj swojemu szefowi dostęp do wypychania zawartości z niego do głównego repozytorium.
Jeśli musi zresetować hasło, Twoja firma nie robi tego dobrze.Powinno istnieć oprogramowanie, które kontroluje korzystanie z systemu, a Twój szef resetuje hasło i uzyskuje dostęp do konta w celu przeprowadzenia audytu, po prostu marnując cenny czas i może powodować łamanie zasad IT.
@IllusiveBrain Tak, przez „zatwierdzenie” pomyślałem, że miał na myśli coś w rodzaju „wypychania” w Git.Jeśli używa czegoś takiego jak CVS (nierozproszony VCS, gdzie rozgałęzianie to „wielka sprawa”), wówczas automatyczne zatwierdzanie byłoby problemem i konieczne byłoby coś takiego jak rozwidlenie, o którym wspomniałeś.
Nie rozumiem, jak to może być pytanie.**Nie!!!!**
Chcę głosować negatywnie, ponieważ odpowiedź brzmi oczywiście nie, ale może nie być to oczywiste dla wszystkich, a innym osobom w tej sytuacji należy powiedzieć, dlaczego jest to złe i głupie, i sprawia, że chcę zwinąć się w kłębek i płakać, więczamiast tego +1.(też nie mam przedstawiciela DV, ale cicho)
O cholera, nie ufałbym komuś, kto używa tego jako wymówki !!!!!!
To oczywiście nie jest w porządku, powinno dać mu mocne ostrzeżenie, gdy pierwszy raz to zgłosisz, zwolniłem drugiego (oczywiście jeśli jest szefem, a nie tylko twoim szefem, to jest trochę bardziej skomplikowane) .Teraz sprawdzę, czy to nie tylkopo prostu nielegalne.
To wymaga tagu kraju.Byłoby to nielegalne w większości, jeśli nie w całej UE.
Poza tym ... „Zobowiązuj się w moim imieniu”.Zapomnij o wszystkich kłopotach związanych z włączaniem go do twojego komputera ... Nie wiem, jakiego rodzaju QA macie ... Ale zatwierdzenia powinny być dokonywane tylko przez was.A co, jeśli popchnie coś, co zepsuje system prod, ponieważ TY nie byłeś gotowy, aby go popchnąć?Jest teraz w twoim imieniu i zostaniesz za nie oskarżony ...
„Gdyby było gotowe do popełnienia, popełniłbym to”.Podana wymówka to bzdura, chociaż twój szef może nie wiedzieć, że to bzdura.
Drobne rozwiązanie: Każdego dnia sabotuj swoją kopię roboczą przed opuszczeniem biura (dodaj kilka błędów kompilacji, takich jak `#error 'To zatwierdzenie było nieautoryzowane' 'dla kodu C).Jeśli twój szef spróbuje oddać twoją pracę, zepsuje kompilację.Teraz będzie miał za plecami całą organizację zajmującą się rozwojem i testami, a ty nie będziesz tylko argumentować, że musi przestać.
Dziesięć odpowiedzi:
jimm101
2016-10-06 18:28:21 UTC
view on stackexchange narkive permalink

Powinien mieć dostęp do komputera, ale nie do kont .

Z twojego opisu wynika, że ​​konkretnie chce mieć dostęp do kont, aby działać w twoim imieniu. Powinno to naruszać zasady działu IT z dwóch powodów.

  1. Jego działania będą prowadziły do ​​Ciebie.
  2. Twoje czyny sięgają do niego. To powoduje zmętnienie wody i powinno niepokoić go, a nie ciebie. Pobierasz filmy nielegalnie? Cóż, wszyscy wiemy, że Bob regularnie korzystał z twojego komputera ...
To poważniejsze niż drobne obawy dotyczące pirackich filmów.„Nie sprzeniewierzyłem tych pieniędzy / nie ukradłem kodu źródłowego i nie sprzedałem go / nie popełniłem tego przestępczego włamania / itp., Mój szef zrobił to przy użyciu mojego konta”.Dlatego powinno to dotyczyć wszystkich - OP i szefa, którzy są potencjalnie winni wszelkich nadużyć popełnionych na koncie użytkownika, a firma za brak możliwości przypisania działań na koncie PO właścicielowi konta.
„Powinien mieć dostęp do komputera, ale nie do kont.” Większość dużych agencji rządowych USA stosuje to podejście.
Ta odpowiedź jest trafna, ale OP nadal nie może rozwiązać swojej sytuacji.Sugeruję dodanie sugestii, aby jawnie dać szefowi konto na komputerze, które może uzyskać dostęp do folderów programistycznych i poinformować szefa o poleceniu git --author lub jakimkolwiek odpowiedniku ich systemu kontroli wersji, więc szef nie musi logować się jako OPosiągnąć swój cel.
@Sumyrda Prawda, ale tylko wtedy, gdy dasz wiarygodność wyjaśnieniu jego szefa. Czy lubi niesprawdzony, uszkodzony kod?Rozwiązaniem byłaby taka polityka, że każdą pracę w toku trzeba na koniec dnia sprawdzić w oddziale, co można łatwo zweryfikować.
Termin określający to w świecie bezpieczeństwa IT to [niezaprzeczalność] (https://en.wikipedia.org/wiki/Non-repudiation)
Szef wygląda na technofoba.@Lucas
@MarkRogers State wydaje się wręcz podążać za podejściem, do którego dostęp powinien mieć cały świat;)
@Anketam: Nie ma czegoś takiego jak niezaprzeczalność w systemie Windows.
JohnHC
2016-10-06 18:00:24 UTC
view on stackexchange narkive permalink

Sprawdź swoją politykę IT, w większości miejsc obowiązuje zasada, że ​​nigdy nie jest to w porządku.

Dwie rzeczy do przemyślenia:

  1. Gdybyś omawiał skargę na swojego szefa z HR, mogliby się dowiedzieć.

  2. Jeśli Twój szef ma dostęp do Twojej maszyny i coś zepsuje, będzie wyglądać, że to Ty to zrobiłeś.

W każdym miejscu, w którym kiedykolwiek pracowałem, takie zachowanie jest całkowicie sprzeczne z polityką firmy z powodów przedstawionych powyżej. Otwiera to firmę na potencjalne problemy prawne, jeśli kiedykolwiek zdecydują się Cię zwolnić.

+1 za wskazanie, że osoba wchodząca może spowodować kłopoty i będzie wyglądać tak, jakby to zrobił PO.Nie ma nic złego w tym, że szef wchodzi jako ADMINISTRATOR, ale nie jako użytkownik.Jak powiedziałeś, w niektórych miejscach obowiązują zasady IT, które są znacznie bardziej restrykcyjne, w których tylko administrator IT jest upoważniony do dostępu do maszyn.Osobiście czuję szczura.
@RichardU Albo paranoiczny szef.
@cst1992 powód brzmi zbyt zagmatwany, by być paranoicznym „zatwierdzeniem” w imieniu OP?Myślę, że ten menedżer ma ogon.
paparazzo
2016-10-06 19:31:46 UTC
view on stackexchange narkive permalink

Rozumiem, że szef przychodzi jako administrator i resetuje twoje hasło, aby mógł się zalogować jako ty. Akt resetowania hasła jest rejestrowany. Konto, które przesłało ponownie hasło, jest rejestrowane wraz z godziną.

To po prostu nie ma sensu. Jeśli może wejść jako administrator, może przeglądać wszystkie pliki. Nie ma powodu, aby logować się jako Ty, chyba że celem jest podszywanie się pod Ciebie.

Powód, który podaje, jest taki, że

Chce wiedzieć, czy jest coś niezobowiązującego w moim komputer, żeby mógł popełnić w moim imieniu.

To nie jest rozsądny cel. Gdyby kod był gotowy do zatwierdzenia, popełniłbyś go. Jeśli chce zatwierdzić kod, powinien zrobić to pod swoim nazwiskiem.

Może dostaję awaryjną kompilację, ale jej odrzucenie powinno zdarzać się regularnie.

Jest to sprzęt firmowy, więc w USA prawdopodobnie legalny. Nie przeszedłby żadnej uzasadnionej polityki IT. Użytkownik spoza działu IT, który ma prawa administratora, nie jest powszechny. W przypadku programistów, którzy czasami są w branży IT, niektórzy zaufani programiści otrzymują prawa administratora, ale oczekuje się, że nie będą używać tych zapisów do zmiany haseł i logowania się jako ta osoba.

Zwykle programista ma uprawnienia administratora tylko do własnego pudełka, a nie uprawnienia administratora do logowania się do skrzynek innych osób.To brzmi jak mała firma, w której nie ma prawdziwego działu IT, a właściciel / szef ma prawa administratora domeny, co jest po prostu dziwne.
WGroleau
2016-10-06 21:12:52 UTC
view on stackexchange narkive permalink

Inni już wspominali, dlaczego ktoś popełnił kod, nie wiedząc, dlaczego Ty tego nie zrobiłeś, jest głupi i że korzystanie z Twojego konta jest z dużym prawdopodobieństwem niezgodne z zasadami firmy. W niektórych jurysdykcjach nielegalne.

Ale zasugerowałeś, że Twoim głównym problemem są przechowywane hasła. Umieść je w programie do zarządzania hasłami, który wymaga „hasła głównego” (które tylko Ty znasz), aby się do nich dostać, na przykład hasło1 lub KeePass (lub Firefox). Jeśli to możliwe, umieść tę aplikację i jej bazę danych na pamięci USB.

Czy menedżerowie haseł mają możliwość zapomnienia głównego hasła podczas hibernacji / wznowienia?Jeśli nie, zdecydowanie.potrzebujesz haseł na pamięci USB.
Nic nie wiem o password1.KeePass, którego używałem cztery lata temu, więc mogło się zmienić.Uruchamiasz go, wprowadzasz hasło główne, chwytasz zapisane hasło, które chcesz, a następnie zamykasz.FireFox, musisz wprowadzić hasło główne przynajmniej po każdym uruchomieniu przeglądarki, zanim będziesz mógł dostać się do zapisanych.
Jeśli menedżer haseł nie wchodzi w grę, przynajmniej zaszyfrowany plik.Przy istniejącym oprogramowaniu powinieneś być w stanie utworzyć zaszyfrowany plik ZIP lub Excel.
A jeśli jest to zaszyfrowany plik, polecam go również na pendrive.(Które oczywiście zabierasz ze sobą, kiedy wyjeżdżasz!)
Z LastPass mam sesję wylogowaną po X minutach bezczynności.Zwykle trzymam to na niskim poziomie, jakieś 3 minuty czy coś.Możesz także użyć uwierzytelniania dwuskładnikowego, aby uniemożliwić logowanie bez hasła i komponentu sprzętowego (np. Aplikacja OTP na telefonie, SMS lub coś takiego jak Yubikey).Są one dostępne na kontach bezpłatnych.Powinieneś także używać haseł do kluczy SSH, aby wprowadzanie zmian było niemożliwe bez hasła klucza.Jest to tylko trochę niewygodne, ale wiesz, co jest bardziej niewygodne?Bycie wrobionym przez szefa w defraudację.
Alex
2016-10-06 17:58:20 UTC
view on stackexchange narkive permalink

Jak zauważyłeś, firma jest właścicielem komputera. Ponieważ są właścicielami komputera, Twój kierownik lub każda osoba z uprawnieniami i uprawnieniami administratora może zalogować się do Twojego komputera, o ile nie nadużywa dostępu w sposób zagrażający Twojej pracy. Ogólna zasada brzmi: nie przechowuj osobistych informacji finansowych ani życiorysów na swoim komputerze. Niech praca będzie pracą, aby nie tylko chronić Twoje dane osobowe, ale także ograniczyć szkody, które można wyrządzić, jeśli ktoś z dostępem podejmie próbę złośliwej działalności pod Twoim nazwiskiem.

W jednym z moich poprzednich środowisk często menedżerowie uzyskiwali dostęp do komputerów swoich pracowników, ponieważ ludzie przechowywali lokalnie na swoich komputerach pliki projektów i dokumenty hipoteczne klientów; więc kiedy ta osoba była chora, a klient musiał zmienić datę zakończenia, menedżer musiał uzyskać dostęp do komputera pracowników, aby uzyskać oryginalny dokument. Znany mi archaiczny system, ale to tylko jeden z uzasadnionych powodów, dla których kierownik musiałby uzyskać dostęp do komputera pracowników.

istnieje duża różnica między korzystaniem z komputera a indywidualnym kontem.Prawie każda firma, która ma taką politykę, ma zasadę, że nigdy nie logujesz się na konto innego użytkownika bez jego obecności lub bez określonego dostępu przyznanego przez dział IT.W przeciwnym razie nie ma możliwości udowodnienia, że cokolwiek zrobione na czyimś koncie zostało faktycznie zrobione przez tę osobę.
@Kaz Tak, POWAŻNE naruszenie bezpieczeństwa.Znam kilku pracodawców, którzy wyprowadziliby tego menedżera od razu za wykonanie tego manewru
Nie ma problemu z dostępem administratorów do komputerów firmy.NA ICH KONTO.Tak nie jest w tym przypadku.
paj28
2016-10-08 04:09:35 UTC
view on stackexchange narkive permalink

Zależy to od kraju i obowiązujących zasad IT.

W Wielkiej Brytanii domyślnie NIE byłoby to akceptowalne. Twój szef byłby uprawniony do monitorowania twoich działań w pracy, ale gdybyś zalogował się na swoje osobiste konto e-mail, twój szef nie byłby uprawniony do monitorowania tego.

Jednak aby temu przeciwdziałać, standardową praktyką jest umieść w umowie klauzulę lub zasadę dopuszczalnego użytkowania, która mówi, że „sprzęt firmowy nie może być używany do użytku osobistego”. Jeśli taka klauzula jest obecna, twój szef JEST upoważniony do monitorowania całego użytkowania komputera w pracy.

Wiele krajów ma podobne przepisy jak w Wielkiej Brytanii, ale istnieją znaczące różnice. Na przykład w Niemczech masz silniejsze prawo do prywatności.

Źródło: Pracuję w infosec przez kilka lat i nauczyłem się tego na różnych kursach, w których uczestniczyłem (np. SANS). Obawiam się, że nie mam pod ręką linków, ale powinieneś być w stanie je łatwo znaleźć.

+1 Pracowałem w firmach, w których posiadanie cokolwiek o charakterze osobistym na komputerze firmy byłoby traktowane jako poważne wykroczenie.Chociaż było to jakiś czas temu - przed czasami BYOD, a tak naprawdę B'ing YOD i podłączenie go do sieci firmowej byłoby postrzegane jako jeszcze poważniejsze wykroczenie.
@peterG - Jedną z obaw związanych z BYOD jest to, że firma nie ma „prawa do audytu”.Niektóre firmy wymagają od Ciebie podpisania prawa do audytu przed użyciem urządzenia BYO.Częściej pozwalają one tylko na dostęp do zdalnego pulpitu (lub podobnego) z urządzenia BYO, więc działania związane z danymi firmy mogą być audytowane na serwerze.
Zauważ, że powyższa odpowiedź JohnHC „Twój szef może zobaczyć wszelkie wiadomości między Tobą a działem HR” sprawia, że rozróżnienie między sprawami osobistymi a pracą jest nieco mniej jasne, niż sugeruje twoja odpowiedź.Czy Twój bezpośredni przełożony jest upoważniony do monitorowania postępów w rozpatrywaniu Twojej skargi na niego?Albo, co gorsza, odpowiedzieć na te e-maile, używając swojego konta / nazwy?
@Móż - To doskonała uwaga i obawiam się, że trener SANS nie wziął go pod uwagę.W praktyce HR ma niechęć do wysyłania e-maili w sprawach wrażliwych, ale jest to bardziej spowodowane tym, że wiadomości e-mail mogą być źle interpretowane, a nie poufne.
I'm not paid to think
2016-10-08 20:44:16 UTC
view on stackexchange narkive permalink

Powodem, dla którego to uzasadnia, jest to, że czasami chce wiedzieć, czy w moim komputerze jest coś niezaangażowanego, więc może zatwierdzić w moim imieniu.

Chociaż Wątpię, czy to prawda, gdyby tak było, należałoby to traktować inaczej.

Skonfiguruj dysk współdzielony, na którym znajduje się zawartość związana z pracą. Lub skonfiguruj zasady, zgodnie z którymi pliki związane z pracą na Twoim koncie w specjalnym katalogu będą dostępne tylko do odczytu dla innych pracowników. itp.

Istnieje wiele sposobów umożliwiania dostępu do plików, o których mowa, i nie wymagają podszywania się pod Ciebie w jakikolwiek sposób.

Może rozsądnie jest stworzyć taki system / politykę, aby pliki związane z pracą były dostępne w nagłych wypadkach, na przykład gdy byłbyś niedostępny.

Zapytałbym szefa, dlaczego nie ma takiej możliwości.

koan
2016-10-09 01:17:54 UTC
view on stackexchange narkive permalink

Prosta odpowiedź brzmi: nie przechowuj swoich haseł na komputerze ani nie używaj aplikacji do obsługi pęku kluczy, która nie korzysta z systemu haseł logowania.

Jak wspominały inne osoby, Twoim menedżerem jest prawdopodobnie niezgodne z polityką bezpieczeństwa IT. Warto taktownie wspomnieć działowi pomocy technicznej, że hasło zostało wielokrotnie zresetowane i pozwolić im podjąć jakiekolwiek działania.

W pozostałych odpowiedziach brakuje do tej pory tego, że w przypadku niezatwierdzonych zmian , to nie twój szef je popełnia i nie jest to rozsądna wymówka. Myślę w kategoriach systemów tworzenia wersji oprogramowania, ale to samo odnosi się do dokumentów prawnych lub innych „ważnych” prac, które mogą wymagać wykonania w odpowiednim czasie: skąd twój szef wie, że zmiany są kompletne, przetestowane, zweryfikowane gotowe itp.?

Szef nie wie, dlatego zobowiązuje się pod imieniem postera, a nie swoim :-(
gnasher729
2016-10-09 00:20:28 UTC
view on stackexchange narkive permalink

Istnieją trzy poziomy.

Poziom 1: Czy mój kierownik ma prawo dostępu do mojego komputera w pracy? To zależy. Twoja firma określi, jakie prawa ma ktoś w firmie. Twój menedżer ma to prawo, jeśli firma twierdzi, że ma prawo, a on nie ma go, jeśli firma twierdzi, że nie. Zgodziłbym się z moim kierownikiem, który uzyskałby dostęp do mojego komputera, powiedzmy, gdybym miał wypadek i ważne informacje byłyby tylko na moim komputerze. Gdyby wydarzyło się to bez bardzo dobrego powodu, byłbym bardzo, bardzo zły, a to nie byłoby dobre.

Poziom 2: A co z moją prywatnością? W zależności od kraju, w którym przebywasz, prywatne informacje mogą być silnie chronione, nawet jeśli znajdują się na komputerze należącym do firmy, a na tym komputerze nie powinien. Lub może być całkowicie niezabezpieczony na twoim komputerze roboczym.

Poziom 3: Legalność. A tutaj mamy wielką, dużą, czerwoną flagę. Prezes Twojej firmy nie ma żadnego prawa dostępu do komputera swojego księgowego. Twój menedżer nie ma żadnego prawa do dokonywania zmian pod Twoim nazwiskiem . Jako programista, niezatwierdzony kod na moim komputerze jest w trakcie opracowywania iw dowolnym momencie może znaleźć się w stanie, który może być kosztowny lub śmiertelny, jeśli zostanie zatwierdzony i wysłany do klientów. (Mógłbym napisać oprogramowanie, które wysyła towary do klientów, wysyła rachunek do klienta i zapisuje, że klient jest winien firmie pieniądze. Jeśli tylko dwie z tych trzech części są skończone, a mój szef wykonuje tę niedokończoną pracę, byłoby to fatalne w skutkach ). Jest wiele branż, w których dostęp do danych jest ściśle kontrolowany, a to, co tu robi szef, może spowodować postawienie zarzutów karnych i ogromną odpowiedzialność dla firmy.

Poziomy „wolne” powinny prawdopodobnie oznaczać „trzy” poziomy.Chyba że naprawdę miałeś na myśli, że są gratis.
dbanet
2016-10-06 22:56:22 UTC
view on stackexchange narkive permalink

Bzdury związane z naruszeniem bezpieczeństwa to po prostu śmieszne bzdury.

Wprowadzasz hasło na prywatnym komputerze, dlatego może być ono dostępne lub nie dla jego właścicieli. Jeśli istnieje skonfigurowana domena, może ona być już w postaci zwykłego tekstu na kontrolerze domeny lub nie. Hasło nie jest Twoim sekretem, jest ono współdzielone tajne. Wspólne sekrety pozwalają na ustanowienie zaufanych i prawdopodobnie zaszyfrowanych kanałów. To nie twoja tożsamość!

To moja firma, równie dobrze mogę założyć konto z identycznymi nazwami użytkowników i hasłami na każdym z moich komputerów , które wszyscy znają i kto może powiedzieć, że nie mam do tego prawa? Pracowałem w takim środowisku, nie było żadnych kłopotów. To nie twoja sprawa .

Umieszczenie czyjegoś prawdziwego imienia i nazwiska w polu prawdziwego imienia na jakimś koncie domeny nic nie zmienia, nie wystarczy do udowodnienia czegokolwiek w sądzie. Nie, nawet jeśli twój szef nigdy się nie zalogował (co jest zasadniczo możliwe do ulepszenia), ten informatyk, który ma dość głupich rzeczy, prawdopodobnie ma prawa superużytkownika i może robić, co chce, i nikt się nigdy nie dowie.

Pomysł, że wygenerowane przez firmę dane uwierzytelniające automatyzują uwierzytelnianie i dostarczanie dostępu do infrastruktury należącej do firmy oraz informacji, które firma chętnie Ci udostępniła w celu zautomatyzowania niektórych procesów roboczych w sposób, w jaki firma uważa za stosowny w jakiś sposób uprawnia Cię do wszystkiego jest rażąco, niezaprzeczalnie absurdalny.

Firma może ustawić dowolne procedury automatyzacji i uwierzytelniania, które chce i tak, Twój szef może robić, co tylko zechce. O ile, oczywiście, ich szef nie powie, że nie mogą, wtedy udaj się do jego szefa.

Z pewnością nic nie wskazuje na to, czy są to dobre czy złe praktyki w jakimś szczególnym sensie. Decyzja należy do firmy, a nie do Ciebie.

Z pewnością znowu, jeśli mówimy o jakimś rodzaju oszustwa, to zupełnie inna kwestia. Zalogowanie się na konto e-mail dostarczone przez firmę może nie działać poprawnie, ale wysłanie wiadomości e-mail do żony z podpisem na końcu nie.

Uwaga aby to zrobić, nie trzeba logować się na żadne ze „swoich” kont, ale nadal stanowi to wykroczenie.

Przekazanie kodu napisanego w godzinach pracy na prywatnym komputerze firmy, za który zapłacono, na repozytorium należące do firmy i farma kompilacji są OK (z dowolnego konta firmowego, z którego firma chce to zrobić), ale dodanie złośliwego kodu backdoora , a następnie stwierdzenie, że zrobiłeś to jest nie.

Pamiętaj, że nie jest konieczne logowanie się do żadnego z „Twoich” kont, aby to zrobić, ale nadal stanowi to wykroczenie.

Zobacz, dokąd zmierzam?

Oto kolejny głos przeciw.Tak, faceci z branży IT mają supermoce i mogą robić różne paskudne rzeczy, jeśli się oszukają;jednak to pytanie dotyczy szefa PO, dla którego naprawdę * nie ma żadnego powodu *, aby podszywać się pod PO.Tak, jest możliwe (jeśli mało prawdopodobne), że jest to zgodne z polityką firmy, ale nadal jest to straszna polityka.
Jeśli jest to spółka notowana na giełdzie (lub ma taką nadzieję) i prowadzi działalność w Stanach Zjednoczonych, nie mogę pogodzić tej odpowiedzi z wymogami dotyczącymi ograniczenia ryzyka określonymi w ustawie Sarbanes-Oxley.Musisz to poprzedzić jako odpowiedź odpowiednią dla prywatnego pracodawcy z jednym właścicielem;Ponieważ PO nie wyjaśnił rodzaju organizacji, ta odpowiedź jest czystą spekulacją i warta mojej -1.
Nie, nie bardzo.
Nie angażuj się w „edycję wojen”.To stwierdzenie było w 100% nieodpowiednie do udzielenia odpowiedzi (i najlepiej byłoby nie pozostawić go w komentarzu) i _ powinno_ zostać usunięte.Nie jesteś „właścicielem” swojej odpowiedzi.Ponadto komentarze mogą zostać usunięte w dowolnym momencie z dowolnego powodu i bez powiadomienia, zwłaszcza gdy są po prostu bezcelowymi sprzeczkami;jeśli masz z tym problem, może to nie być witryna dla Ciebie.Na szczęście istnieje wiele innych witryn (i miejsc z życia wziętych) do wyboru!
Ponieważ konta są rzekomo współdzielone, w jaki sposób organizacja monitoruje użycie przez personel inny niż użytkownik, dla którego konto zostało utworzone?Excel arkusz kalkulacyjny?Zamierzam też założyć, że najbezpieczniejszy sposób na uniknięcie nadużywania tak uroczej praktyki na różowym przekleństwie Huzzah przed przedstawicielem HR?
@dbanet przestaje wycofywać tę edycję.Odpowiedzi służą do odpowiedzi, a nie do meta-komentarzy do głosowania.
logować się hasłami do dowolnego systemu operacyjnego, z którego korzystałem w ciągu ostatnich dwudziestu lat w IT.NIE są przechowywane w postaci zwykłego tekstu.Nawet Microsoft nie jest taki głupi.
Przepraszamy za komentarz nekro, ale ta odpowiedź jest absolutnie STRASZNA z prostego powodu, o którym nie wspomniano: konta są skonfigurowane w celu zapewnienia bezpieczeństwa dostępu.Nie mogę „posiadać” konta „kevin”, na którym pracuję, ale nie o to chodzi.Konto „kevin” ma dostęp do zbioru papierów wartościowych, których potrzebuję do wykonywania mojej pracy.Zezwolenie * komukolwiek * innemu na zalogowanie się na to konto daje im dostęp do ogromnego asortymentu rzeczy, do których prawdopodobnie * nie powinni mieć dostępu *.W takiej sytuacji ludzie nie mogą już udzielać „mnie” dostępu do czegokolwiek, chyba że * każdy * korzystający z mojego konta powinien go mieć.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...