總統府網站雖然相較很多網站並不是那麼重要, 但也因為其特殊性以及政治立場的角色, 是很容易一直被拿出來討論的, 至少這幾天就 Alexa 的觀點來看, 從 3000 名外進到 3000 名內 (見右圖), 流量也瞬間多了四倍, 也可以當作是一個小型的壓力測試了..
至少這段時間也超過內政部與法務部, 感覺起來似乎有點全民網站的味道了, 不會那麼感覺是馬總統粉絲站, 而不是總統府網站了, 所以這七百萬也花得挺有用的.
但話說回來, 一個網站就安全性來看有兩種層面:
1. 該看的人都能看到該看的東西
2. 不該看到的東西被看到
至少就 High Availbility (HA) 的 Load Balancing 等等的機制應該是沒話說, 聽說以前是用 F5, 而這次是不是有換掉我就不知道了, 但應該不是用 Redundent IP 來實作是真的.
而要做多少的壓力測試 (Pressure Test) 我是沒意見, 至少在目前沒掛過的情型下應該是及格的 , 或許至少在沒有被 DOS 或 DDOS 之前是無法真的知道的, 雖然我個人對這套系統是擔心多於信心.
但下一個問題是, 真的有沒有不該看到的東西被看到.
當然就正式與非正式的小道消息知道, 總統府網站的確有做過 Static Code Analysis, 也就是所謂的 SCA, 這個至少避免了許多常見的問題, 包含 XSS, SQL injection, BOF, ... 等等的基本問題都被測試過了, 甚至小道消息是也不少人做了不少嘗試, 最後目前 "只" 發現這個 Explicit Parameters 的 Error Text Handling (ErrTxt) 錯誤訊息處理問題的問題.
因此最後有了這張圖與其 "呼叫網站"....
像這篇文章也說個大概, 但實務上我知道有人做的 "嘗試" 遠超過如此, 但也真的只有這樣, 所以我也經過管道也確定有做過 SCA, 但也承認這個問題是 SCA 目前無法直接找到, 是屬於系統設記的問題, 且這對系統的穩定度與完整性沒有任何損害.
但也絕對因為不是透過 "正常網站" 的瀏灠不造成影響與問題, 就說這系統安全性無虞是接近掩耳盜鈴, 畢竟若這是一個 Kuso 網站若有這樣的問題大家還可以拍手叫好, 但若這個是會發布國家級公告的總統府網站就沒那麼有趣了, 因為這很接近 "看到不該看到的東西" 了.
因此若是非總統府網站, 做到這樣已經是誠屬難得的, 但因為這個角色的特殊性, 這問題也是非同小可, 所以最後還是補起來了, 這也足以對後面的工程師與程式設計師讓我在這邊表達敬意, 這是相當認真與努力的表現, 不然依照我做網站的個性, 只有比較糟不會更好. (所以我才打死不接案子)
拉回來, 台灣有多少網站有在做 SCA, 當然我知道大部份的 100 名或 300 名大網站應該可以假設知名的網站 8 成都做了, 當然這個 3000 名沒甚麼人在看的網站有做 SCA 也是該鼓掌一下, 因為我也聽說之前太多的問題發生, 國家級網站已經把這種滲透性測試及 HA, SCA 當作標準流程之一, 說真的我不得不承認這塊是領先業界, 畢竟台灣小型網路公司還真的沒有資源 (人力與金錢) 去做這件事.
最後要我在這項給總統府網站打分數, 我會給 63 分, 比 61 分來得高, 若不是總統府網站會給 80 分以上, 但這個在這邊是不行的, 只是這分數跟我藍綠沒有絕對的關係喔... (大概吧...)
2010年7月2日 星期五
訂閱:
張貼留言 (Atom)
熱門文章
-
很多人知道我累了一陣, 也知道有部份的時間事實上是拿來打 Civilization IV, 但真的心思有點失焦是真的, 而在因緣際會的情型下, 到墾丁去散散心, ... 距離上次去墾丁大概是 1985 彗星來的那一年, 我舅舅開著車連夜到墾丁, 事實上到底有沒有看到哈雷, 我是不...
-
說真的, 這次的低潮還算挺久的, 在某方面而言, 在做完 "宅度計" 之後, 就停下來了, 就最後的日期大概是 5/29 號前後吧, ... 這段時間唯一做的大概是 Google Trends 的數字計算, 那時是 6 月 23 日吧, 在之前的 6 月 5 ...
-
在 Search Rank (SEO) 納入 Users Signal (使用者訊號) 之後, Click Through Rate (CTR) 變成了一個不在只是 UI/UX 的最愛, 更是 SEOers 不得不提的事了. 當然 CTR 不是只有注重 SEO 的人才須要注意...
-
這一篇是寫給要來我家的朋友... 到我新家來借宿有幾種方式, 一個是搭船.... 1. 主要是搭任何一艘船, 能夠在 淡水碼頭 上岸的話: 就可以用走的走到我家... 上圖的 A 與 B 是相反的.. 雖然上面是寫 13 分鐘, 但事實上有 10 分鐘都是在漁人碼頭晃, 走出來不...
-
部落格改網址是最好不要的事, 尤其是對 SEO, 但畢竟我這個部落格本來就不是那種很多人會上來看的那種, 所以在某方面是不用太擔心這件事, 畢竟這個部落格的初衷是: "避免一件事講很多次, 所以寫成文章再叫朋友來看" 但對於 blogspot 這次...
-
只要是有文化, 只要是有歷史, 只要是有種族, 無論是人類 (或是魚人) 都很難擺脫歧視與被歧視的經驗, 而這經驗, 往往會根深蒂固, 很難改變, 甚至是不可能改變, 畢竟這些岐視的劃分與刻版印像都是從成長經驗所造成的, 因為所學, 所思, 所想, 所行為的都是如此, 要一個...
-
這個標題原文並不是 SEO, 而是米塞斯 (Ludwig von Mises) 說的一句話: "若一個經濟學家只是一個經濟學家, 他肯定不是一個好的經濟學家", 而這個迷思 (Myth) 事實上可以套用在很多地方, 不只是經濟學家, 更不只是 SEO, ...
-
在過了短暫的墾丁之旅後, 該收心認真工作, 但似乎也只有一個星期... 這段期間因為 Engadget 的大總編 借我 3G Card, 所以在找吃的或住的是有派上用場, 也幾乎是隨時都可以上網, 但卻沒有停下腳步寫任何的 Blog... 但這次很意外的像這樣的 3G 在墾丁所...
-
這句話已經喊了不知多久了, 當時聽到 LG 出了一款可以 USB 連結的 LCD, 想說這真的是太好了, ... 但沒想到還沒真的上市就腰斬了(?), 後來找到原來這技術是一家叫 Display Link 的公司, 做的... 而我在兩年多前就開始採用雙螢幕, 而現在若是沒用雙...
-
先出場的是每天個人 Plurk 的資料如下範例 其中 username 為 plurk 的個人網址, border 則為 table 的邊, simple=1 則只會出現 plurks 數與 responses 數, 而 period=1 則會出現上次 plurk 與 respo...
http://www.mobile01.com/topicdetail.php?f=514&t=1628610&p=10,誰說只有一個問題的?
回覆刪除SCA, 請你再去查查正確的英文全名。你這篇胡說八道的文章還是快點下架,免得貽笑大方....
回覆刪除to 匿名 A,
回覆刪除果然寫錯了, 應該是 Static Code, 但不知道還有那邊有錯請指教..
to 暱名 B..
回覆刪除我看了 Mobile 原文, 看起來 Security 的確只有這問題阿? 還是那邊有寫?
網站流量暴增4倍,是該擔心的事,不是值得說成"全民網站",說不定是正在遭受攻擊。壓力測試是該上線之後才做的嗎?
回覆刪除你文章中貼的,就是XSS漏洞的一種,根本就是程式的疏漏。
漏洞不只有一個,還有一堆已經被我們發現的沒改,所以不只有一個。我們沒有領大同的錢,問題出在哪請他們QA自己好好測;最好先下線,等所有問題都解決了再重新上線,免得被其他人攻擊。
僅此
原來Security是請Mobile01測的嗎?
回覆刪除還是大同以為,網民是應該當他們的QA? 那請大同拿錢出來Share大家好了...
不然就等哪天被攻破就知道問題在哪,應該也是可以...