公告資訊

未經授權,禁止轉載網站文章與內容。如有需要可以跟我聯絡,謝謝!!




2010年7月3日 星期六

總統府網站分析 -- 全民驗收(1)

最近拜讀了某網友的三篇 "總統府網站分析" 的文章,不知所云 …

基本上,這個網站應該算是驗收了,所以才會上線。其實我不care這網站要花多少錢,反正不是我可以決定的(做案子的錢當然越多越好,資訊業才有前途);但因為這是一個國家對外很重要的形象網站,因此若是沒有做好,也等於是把臉丟到國外。

我相信專案團隊一定很辛苦,但以這樣的案子來說,既然要標,也應該事先做過評估;等到事後再把做不好的責任推給客戶,算是不負責任的。某網友的文章中提到,

"這個專案應該是成功的, 因為就專案而言, 就是讓業主非常滿意的交付尾款"

我不覺得業主會喜歡看到,付了尾款之後,得到一個一堆問題的網站之後,還要被廠商幹譙,然後每年還要付錢簽維護合約。

"這幾天就 Alexa 的觀點來看, 從 3000 名外進到 3000 名內 (見右圖), 流量也瞬間多了四倍, 也可以當作是一個小型的壓力測試了"

"至少這段時間也超過內政部與法務部, 感覺起來似乎有點全民網站的味道了"

網站在沒有預期的清況之下,流量瞬間多了四倍,就安全性來說,是令人擔心的事,不知道有甚麼好高興的。而網站所謂的 "壓力測試",或是其他安全性的測試,都是必須要在可以被控制的環境或是時間中執行。網站上線才用使用者流量做壓力測試 ? 我沒在任何QA 的書上看過。

另外,系統的安全性往往跟開發的架構與使用的技術與流程有關,但是不能把問題都丟給開發的架構與使用的技術。

"就正式與非正式的小道消息知道, 總統府網站的確有做過 Solid Code Analysis, 也就是所謂的 SCA, 這個至少避免了許多常見的問題, 包含 XSS, SQL injection, BOF, ... 等等的基本問題都被測試過了, 甚至小道消息是也不少人做了不少嘗試, 最後目前 "只" 發現這個 Explicit Parameters 的 Error Text Handling (ErrTxt) 錯誤訊息處理問題的問題."

請參閱 ITHome 的連結(http://www.ithome.com.tw/itadm/article.php?c=62025),這就是XSS的一種漏洞。如果像該網友所說,網站有做過SCA,也安全測過了,那上線半天不到就被發現XSS漏洞,那看不見的漏洞豈不是更多 ?

下一篇我會把迄今我所看到的已解決跟未解決的問題貼上來,跟大家分享。

沒有留言:

最新回應

Loading...

即時與版主對話


(若狀態顯示"忙碌"時,我可能無法馬上回應。你可以留下Email,我會盡快跟你聯絡,謝謝喔!!)