[心得] 網站系統開發的小小分享

看板PHP作者averywu (看文不要只會用橫的看)時間14年前 (2011/05/27 09:37)推噓2(2推 0噓 2→)

留言4則, 3人參與討論串1/1

前二天想用某網站的VIP功能。結果發現對方系統在OSX下的Safari及FIrefox是不能用的。不過對方告知在WIN平台下的Safari及Firefox卻是正常的（怪哉？）。對方客服告知該問題會提報至下次網站改版時修正。（看來是無解了），並好心告知。然後事情就開始了... 我還真找了台WIN32機子來試用。結果當然是正常的。然後回OSX去找問題（太閒？）。發現使用者帳號及密碼竟然用明碼存在餅乾裡。看不懂？就是你的電腦裡他好心幫你做了個文字檔，然後裡面是你在該網站的帳號跟密碼。而且是直接能開啟及看到的。這實在太了不起了。這比SONY還混啊！人家至少密碼會加密而且是放在DB裡的。然後看到了是用ASP開發的，平台是IIS，是否登入採用SESSION，看來都很正常。最後到WIN32平台看VIP能用的功能是哪些，發現是一些用FLASH寫成的AP。查出路徑並記錄後回OSX，開了SSH，借用一下別人的主機，然後wget看看.... 原本是要看他除了用SESSION去防堵以外，還用了哪些機制去處理。我連Sniffer 都準備好了。沒想到一wget下去，就全抓回來了....Hmmm 防東防西沒防到最基礎的。就好像馬路接你家大門，然後大門用了N個先進鎖頭，結果你家沒圍牆一樣。這已經不叫防君子不防小人了（我是小人XD）。好啦，最後我還是能用VIP功能了。反正我本來就有付費有資格用。所以不違法吧。真的有時候最基本的東西反而沒被注意到。那就事倍功零了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.124.142.152