總統府網站雖然相較很多網站並不是那麼重要, 但也因為其特殊性以及政治立場的角色, 是很容易一直被拿出來討論的, 至少這幾天就 Alexa 的觀點來看, 從 3000 名外進到 3000 名內 (見右圖), 流量也瞬間多了四倍, 也可以當作是一個小型的壓力測試了..
至少這段時間也超過內政部與法務部, 感覺起來似乎有點全民網站的味道了, 不會那麼感覺是馬總統粉絲站, 而不是總統府網站了, 所以這七百萬也花得挺有用的.
但話說回來, 一個網站就安全性來看有兩種層面:
1. 該看的人都能看到該看的東西
2. 不該看到的東西被看到
至少就 High Availbility (HA) 的 Load Balancing 等等的機制應該是沒話說, 聽說以前是用 F5, 而這次是不是有換掉我就不知道了, 但應該不是用 Redundent IP 來實作是真的.
而要做多少的壓力測試 (Pressure Test) 我是沒意見, 至少在目前沒掛過的情型下應該是及格的 , 或許至少在沒有被 DOS 或 DDOS 之前是無法真的知道的, 雖然我個人對這套系統是擔心多於信心.
但下一個問題是, 真的有沒有不該看到的東西被看到.
當然就正式與非正式的小道消息知道, 總統府網站的確有做過 Static Code Analysis, 也就是所謂的 SCA, 這個至少避免了許多常見的問題, 包含 XSS, SQL injection, BOF, ... 等等的基本問題都被測試過了, 甚至小道消息是也不少人做了不少嘗試, 最後目前 "只" 發現這個 Explicit Parameters 的 Error Text Handling (ErrTxt) 錯誤訊息處理問題的問題.
因此最後有了這張圖與其 "呼叫網站"....
像這篇文章也說個大概, 但實務上我知道有人做的 "嘗試" 遠超過如此, 但也真的只有這樣, 所以我也經過管道也確定有做過 SCA, 但也承認這個問題是 SCA 目前無法直接找到, 是屬於系統設記的問題, 且這對系統的穩定度與完整性沒有任何損害.
但也絕對因為不是透過 "正常網站" 的瀏灠不造成影響與問題, 就說這系統安全性無虞是接近掩耳盜鈴, 畢竟若這是一個 Kuso 網站若有這樣的問題大家還可以拍手叫好, 但若這個是會發布國家級公告的總統府網站就沒那麼有趣了, 因為這很接近 "看到不該看到的東西" 了.
因此若是非總統府網站, 做到這樣已經是誠屬難得的, 但因為這個角色的特殊性, 這問題也是非同小可, 所以最後還是補起來了, 這也足以對後面的工程師與程式設計師讓我在這邊表達敬意, 這是相當認真與努力的表現, 不然依照我做網站的個性, 只有比較糟不會更好. (所以我才打死不接案子)
拉回來, 台灣有多少網站有在做 SCA, 當然我知道大部份的 100 名或 300 名大網站應該可以假設知名的網站 8 成都做了, 當然這個 3000 名沒甚麼人在看的網站有做 SCA 也是該鼓掌一下, 因為我也聽說之前太多的問題發生, 國家級網站已經把這種滲透性測試及 HA, SCA 當作標準流程之一, 說真的我不得不承認這塊是領先業界, 畢竟台灣小型網路公司還真的沒有資源 (人力與金錢) 去做這件事.
最後要我在這項給總統府網站打分數, 我會給 63 分, 比 61 分來得高, 若不是總統府網站會給 80 分以上, 但這個在這邊是不行的, 只是這分數跟我藍綠沒有絕對的關係喔... (大概吧...)
訂閱:
張貼留言 (Atom)
熱門文章
-
昨天在臉書的塗鴉牆朋友分享了一個 王美恩 的" 狀態更新 ": 今天在外面餐廳吃飯,旁邊一桌坐了五六位穿著制服的廚師在吃飯。 老大開講:「我跟你們說,要看警察打人就要看三立,要看學生丟石頭警察受傷就要看中天。」 小廚師問:「大哥,你都不看T...
-
在兩三年前, 跟 "史公" 聊到一個有趣的問題, 就是他感嘆台灣教育在結構上有很大的問題, 大部份的大學教育, 其課程都想教人成為頂尖的人物, 例如 "李安", 且很多學生也都的確以這為目標, 但我們都知道, 李安在沒當導演之前, 也當過好...
-
我是不做 "Me,too" 的, 但我知道粉絲團經營最重要的共同指標, 一個是觸及數, 另一個是互動數, 但這數字只有經營者知道, 即使從洞察報告可以看到你加觀察的幾個粉絲團, 最近文章的互動狀況, 但還是離真的狀況有點距離, 除外粉絲團可以比較的就是 &...
-
當羅技出 G13 後, 我就一直期望能夠玩玩, 而在某天路上撿到一台 G13, 終於可以得償所願阿~~ 上圖是開我原本寫的 N52te 那篇文章, 可以比較看看..... 試用 G13 後, 發現有幾個很不錯或有問題的特色, 當然我是因為跟 Belkin N52te 來做比較: ...
-
雖然台灣的資訊科技網站或部落格真的很多, 但仔細看, 不少都是 "全文翻譯" 國外的網站, 不加任何自己的想法, 不然就是為了寫而寫, 此時來看, 不要說是獨立思考的創見已經看不到, 連獨立寫作的內容已經消失了. 這篇文章我早在去年 11 月時就想寫了, ...
-
這次參與資策會的社群力指標, 在前一篇的講 部落客百傑 的文章已經講個大概, 但我知道很多人看了還是一頭霧水, 其中最主要的一個東西就是 "社群力指標", 雖然這指標明眼的人一看就是我一直在強調的 "Index/指數" 在實用上是很重要的...
-
以下的言論, 純以我是以一個工程師出身的網管, 也以做過 ISP 基礎建設的工作經驗來發言. 前一陣子有人提出取消手機網路不應該有吃到飽 (Flat Rate) 的奇想時, 有參與網路發展的人都知道, 這個固定費率的使用量是網路發展的推手, 或者是指標, 甚至是門檻, 若把這...
-
這個計劃最出是我交大管科系學長所發生的問題, 因為我寫了一篇文章後, 就跑去 Plurk 跟大家討論, 而他是屬於會使用網路但不會使用 Plurk 的人, 所以跟本不知道 Plurk 講了甚麼, 最後我只好把網址給他, 他才晃然大悟這兩個部份的落差, 所以跟我抱怨這件事, 因此我...
-
終於收到 活力藥師網 - Yahoo!奇摩部落格 , 來信詢問, 他對於他的 Blog 有如此多的人在觀看, 但名次如此低, 非常不解.... 事實上就記錄來看, 11/05 時是 5081(19.77%) 到 02/04 時是 4270(68.57%) 了, 換句話說是這三...
-
之前寫了一篇 "聲援" Mr.6 的文章, 事實上問我有沒有在看 Mr.6 的文章, 有沒有在去 Mr.6 的聚會, 當然是沒有的, 只是看到很多人為了打壓 Mr.6 Over-Rated (過譽) 而來 Under-Rated (過惡) 想來個持平的說法罷了...
http://www.mobile01.com/topicdetail.php?f=514&t=1628610&p=10,誰說只有一個問題的?
回覆刪除SCA, 請你再去查查正確的英文全名。你這篇胡說八道的文章還是快點下架,免得貽笑大方....
回覆刪除to 匿名 A,
回覆刪除果然寫錯了, 應該是 Static Code, 但不知道還有那邊有錯請指教..
to 暱名 B..
回覆刪除我看了 Mobile 原文, 看起來 Security 的確只有這問題阿? 還是那邊有寫?
網站流量暴增4倍,是該擔心的事,不是值得說成"全民網站",說不定是正在遭受攻擊。壓力測試是該上線之後才做的嗎?
回覆刪除你文章中貼的,就是XSS漏洞的一種,根本就是程式的疏漏。
漏洞不只有一個,還有一堆已經被我們發現的沒改,所以不只有一個。我們沒有領大同的錢,問題出在哪請他們QA自己好好測;最好先下線,等所有問題都解決了再重新上線,免得被其他人攻擊。
僅此
原來Security是請Mobile01測的嗎?
回覆刪除還是大同以為,網民是應該當他們的QA? 那請大同拿錢出來Share大家好了...
不然就等哪天被攻破就知道問題在哪,應該也是可以...