總統府網站分析 -- 全民驗收(1)

最近拜讀了某網友的三篇 "總統府網站分析" 的文章，不知所云 …

基本上，這個網站應該算是驗收了，所以才會上線。其實我不care這網站要花多少錢，反正不是我可以決定的(做案子的錢當然越多越好，資訊業才有前途)；但因為這是一個國家對外很重要的形象網站，因此若是沒有做好，也等於是把臉丟到國外。

我相信專案團隊一定很辛苦，但以這樣的案子來說，既然要標，也應該事先做過評估；等到事後再把做不好的責任推給客戶，算是不負責任的。某網友的文章中提到，

"這個專案應該是成功的, 因為就專案而言, 就是讓業主非常滿意的交付尾款"

我不覺得業主會喜歡看到，付了尾款之後，得到一個一堆問題的網站之後，還要被廠商幹譙，然後每年還要付錢簽維護合約。

"這幾天就 Alexa 的觀點來看, 從 3000 名外進到 3000 名內 (見右圖), 流量也瞬間多了四倍, 也可以當作是一個小型的壓力測試了"

"至少這段時間也超過內政部與法務部, 感覺起來似乎有點全民網站的味道了"

網站在沒有預期的清況之下，流量瞬間多了四倍，就安全性來說，是令人擔心的事，不知道有甚麼好高興的。而網站所謂的 "壓力測試"，或是其他安全性的測試，都是必須要在可以被控制的環境或是時間中執行。網站上線才用使用者流量做壓力測試 ? 我沒在任何QA 的書上看過。

另外，系統的安全性往往跟開發的架構與使用的技術與流程有關，但是不能把問題都丟給開發的架構與使用的技術。

"就正式與非正式的小道消息知道, 總統府網站的確有做過 Solid Code Analysis, 也就是所謂的 SCA, 這個至少避免了許多常見的問題, 包含 XSS, SQL injection, BOF, ... 等等的基本問題都被測試過了, 甚至小道消息是也不少人做了不少嘗試, 最後目前 "只" 發現這個 Explicit Parameters 的 Error Text Handling (ErrTxt) 錯誤訊息處理問題的問題."

請參閱 ITHome 的連結(http://www.ithome.com.tw/itadm/article.php?c=62025)，這就是XSS的一種漏洞。如果像該網友所說，網站有做過SCA，也安全測過了，那上線半天不到就被發現XSS漏洞，那看不見的漏洞豈不是更多 ?

下一篇我會把迄今我所看到的已解決跟未解決的問題貼上來，跟大家分享。