这是我在微软早期的真实故事。

直到有一天你醒来，看到ZDNet.com上的头条是“在'Blah'中发现了有史以来最严重的ie安全漏洞”，你才知道什么是恐惧，而'Blah'是你六个月前自己写的代码。

在开始工作后，我立即检查了更改日志，发现另一个团队中的某人——我们信任的对产品进行更改的人——签出了我的代码，毫无理由地更改了一堆安全注册表项设置，重新签入，并且从未得到代码审查或告诉任何人。直到今天，我还不知道他到底在做什么;此后不久，他就离开了公司。(自愿的。)

(更新:对评论中提出的问题进行了一些回应:

首先，请注意，我选择采取宽容的立场，即安全密钥的更改是无意的，是基于粗心或不熟悉，而不是恶意的。我没有这样或那样的证据，我相信把错误归咎于人的易犯错误是明智的。

其次，我们现在的签到系统比12年前强大得多。例如，如果签入系统不将更改列表通过电子邮件发送给相关方，现在就不可能签入代码。特别是，在开发周期后期所做的更改有很多“流程”，这确保了所做的更改是正确的，以确保产品的稳定性和安全性。)

Anyway, the bug was that an object which was NOT safe to be used from Internet Explorer had been accidentally released as being marked "safe for scripting". The object was capable of writing binary files -- OLE Automation type libraries, in fact -- to arbitrary disk locations. This meant that an attacker could craft a type library that contained certain strings of hostile code, save it to a path that was a known executable location, give it the extension of something that would cause a script to run, and hope that somehow the user would accidentally run the code. I do not know of any successful "real world" attacks that used this vulnerability, but it was possible to craft a working exploit with it.

让我告诉你，我们很快就为这款游戏发布了补丁。

我在JScript中造成并随后修复了更多的安全漏洞，但它们都没有得到应有的宣传。

这不是安全漏洞，而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)

这是关于“安全登录”的页面为合作伙伴。是这样的:

第一次你通过电子邮件获得明文密码，一旦你登录，你当然不会在第一屏幕上阅读废话，你只是跑去找你要找的东西(文档或软件)，然后注销。

但这里有个技巧，下次你尝试登录时，你的密码不再有效，因为你应该有新密码，他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后，他们给我发了大约30个列举的一次密码列表，我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)

所以我打印了这个密码列表，贴在我桌子前的墙上，每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。

一个使用faces和managedbean的应用程序。用于编辑已经登录的用户的bean与自注册表单使用的bean相同，其中两个隐藏字段是唯一的区别。的意思吗?如果你得到了某人的证件号码(相当于美国的社会安全号)，你就可以修改他们的密码。

在这里根据记忆来解释，但它很接近……

<form action="secretpage.html" id="authentication"          
      onsubmit="return document.forms.authentication.password.value == 's3cr3t'">
    Enter password: <input type="password" name="password"><br>
    <input type="submit" name="Login" >
</form>

我认识的一个家伙用这个来保护他网站的“私人区域”。起初，他不愿意相信我，甚至他的浏览器都有这个不可靠的“查看源代码”功能。

当你丢失了密码和找回表格时，询问用户名和你的电子邮件。并且不验证电子邮件并将密码发送到指定的电子邮件。

刚)一/总动员:

这是在一个本地电视付费/订阅的网站上。很容易找到用户名，很多人使用名字。今天这个电视频道已经破产了(因为其他原因，比如缺乏专业精神)。

一些朋友在大学里是同班同学。他们发现教授把所有的作业答案都贴出来了，甚至包括那些还没有交作业、还没有打分、甚至还没有布置的作业。教授只是把它们的链接或解决方案嵌入到课程网页中，并将它们注释在HTML注释中，直到作业被收集和评分。