切换至摄影模板
博文
网站老A能看到些什么?
热度 4
网站老A能看到些什么?
·Imyoona·
·Imyoona·
最近在家里安装了众多中文网站(包括美中网)使用的建站软件Discuz,知道了一些普通用户无法了解的事情。写出来和网友分享:
1)老A能从网站上看到网民发的仅自己可见的博文
2)老A能从数据库里看到网友间的私信,写个查询语句就都调出来了 (见下图)
3)老A无法得到网民的密码,因为是加过密的
免责声明:本文中使用的图片均由博主自行发布,与本网无关,如有侵权,请联系博主进行删除。
全部作者的其他最新博文
发表评论 评论 (23 个评论)
- 回复 ImYoona
- http://www.bian-wang.com/discuz/home.php?mod=space&uid=10005&do=blog&id=289 我在这里从技术层面分析了什么级别的管理人员能看到和删除用户的屏蔽日志。总结起来就是可以看到和删除用户的屏蔽日志的包括管理员组里的所有管理人员,和其它网站自定义的有管理员权限的管理组里的所有管理人员。在美中网里我们平时偶尔能在主编信箱里看到的管理人员 lzhang, xxzhao, yjzhao 和vzhou应该就是我们俗称的小编了。我查了查他们都属于管理员组,所以都能删除屏蔽日志。
世家金粉: 是的,小编只是个俗称,我这里是特只中文网的负责博客部份管理的编辑们。
我们这件事的讨论逻辑有点乱,先统一一下语境;
1) 前提: 我们说的这几个中文网站 ...
- 回复 世家金粉
- 是的,小编只是个俗称,我这里是特只中文网的负责博客部份管理的编辑们。
ImYoona: Discuz系统在安装时内置了三个管理组:管理员、超级版主、版主,网站也可以自定义更多的管理组。每个管理组有哪些权限网站也可以自行调节。如果一切按默认设置不 ...
我们这件事的讨论逻辑有点乱,先统一一下语境;
1) 前提: 我们说的这几个中文网站,从网站的结构与法律角度来讲是有不同的
A) 其它的那几个中网站都是个人开设,这些网站的拥有者,我们称他们老A,
这些老A他们拥有网络管理的最高权限,但是这几家不在我这回讨论
的范围。
B) 中网网与这些网站的区别,中文网不是哪个个人拥有的网站,中文网的运营是公司行为,没有那个人拥有绝对权限(区别与其它个人开网站的老A 们)中文网的网站管理者,主编,system administrator, 小编职能应该是不同的,他们做这份工作是要对公司的职责负责的!
2) 中文网的所有管理者和工作人员,都是职业经理人,他们有责任对网络和系统的管理设制必要的内控和管控制度来保护公司的最大利益和规避基本的风险,更关键的是保护他的使用者与客户的基本权益!
3) 一家网站的开设,他对它的使用者来说是有是有法律责任与义务的,最主要的一点,就是保护他的客户的隐私权,他要保障网友的个人资料不泄露,不受侵犯!
4) 他们这回到你个人帐户里删掉你的个人资料,我认为是挺严重的,我一直想搞清楚几件事:
a) 是不是中文网的系统完全没有管理,管控制度,任何的小编都可有这样的权限
b) 小编(who ever did this) 应该是违反了工作职责的,主编知道不知道。
c) 中文网的管理者,是不是重视他的客户的权益,如果有个别的工作人员违规操作,是不是应该被开掉,因为,这毕竟有法律问题。
d) 做这件事的小编,到底出于什么目地? 因为被删掉的内容的针对性是很强的
这个行为的人为偏向也很清楚!
- 回复 njhunter
- 哈哈,我对Discuz本身一无所知。我只是从network level指出网站的漏洞和如何弥补。
ImYoona: 猎户很精通这些东西的么。我觉得即使是用HTTPS,当用户发的请求到达网站服务器时,被HTTPS加密的请求内容是先经HTTP Service解密后再交给应用程序去处理的。所以 ...
你说的对,HTTPS,当用户发的请求到达网站服务器时,被HTTPS加密的请求内容是先经HTTP Service解密后再交给应用程序去处理的。应用程序用这个credential against authentication server 比如Windows AD,LDAP等,从应用程序到authentication server使用SSL就避免数据被暴露,应用程序的这一过程应该是不可修改的(除程序的vendor)。如果Discuz本身如你说的可以直接show credential的话,那真没有security可言了.
- 回复 ImYoona
- Discuz系统在安装时内置了三个管理组:管理员、超级版主、版主,网站也可以自定义更多的管理组。每个管理组有哪些权限网站也可以自行调节。如果一切按默认设置不变,那管理员是能在网站上看到和管理用户仅自己可见的博文的,和用户本人看自己博文的过程一样。小编只是个俗称,我不知道具体给了哪些权限。从现象上看,他们有管理日志的权限。
世家金粉: 公主,问你一个问题;
按你对中文网使用的这个软件与系统的了解,如果小编们要进到网友个人的帐户里是需要这个人密码的吧?但是密码应该不是小编们随便可以取得 ...
- 回复 ImYoona
- 猎户很精通这些东西的么。我觉得即使是用HTTPS,当用户发的请求到达网站服务器时,被HTTPS加密的请求内容是先经HTTP Service解密后再交给应用程序去处理的。所以在应用程序里看到的密码总是不加密的。具体的讲,你看Discuz的源码 http://code1.okbase.net/codefile/home_editor.php_201211133327_1013.htm
njhunter: 本质上,A也是第三者,和用不用https是有关的。如果用https,back end用SSL是可以避免A看到password的。从end user的PC一直到mysql server是可以encrypted,除非 ...
里处理用户登录的程序 upload\source\module\member\member_logging.php, 在里面检查$_GET['password']就能看到密码。至于你说的连应用程序都看不到密码,我想这用户检查的功能应该是由HTTP Service完成的,如使用Windows Authentication。但Discuz系统的用户检查是在应用程序里完成的。
- 回复 世家金粉
- “公主A是指System Administrator”,是的,公主的老A 是指的AD, 其它的那几个中文网由于是个人开的,这个开网站的人(系统拥有者),我可以理解自己本身就是AD也即老A,这些老A们又都是这些网站的主要的网友。
njhunter: 我以为公主A是指System Administrator。小编应该不会login as root进入mysql,那公司管理就乱套了。
但是中文网是不同的情况,这个网站是以中文电视公司的名义搭建的,所以,他的AD 应该是在IT的,但是负责维护这个网上博客与博客内容的都是小编们,所以,我认为,公主账户里的资料被删是很蹊跷的。
- 回复 njhunter
- 我以为公主A是指System Administrator。小编应该不会login as root进入mysql,那公司管理就乱套了。
世家金粉: 问题在于,一般的公司,system administrator的权限是属于IT 部门,小编们属于业务部们,在一般的情况下,业务部门的应该是不能随便进入到 mysql (或者说公司应 ...
- 回复 世家金粉
- 但是,中文网与其它的那几个网站不同,这个系统和网站不是属于某个人(不属于任何老A), 中文网的系统是属于中文电视这家公司,所以,从管理角度上来讲的话, system administrator应该是属于IT 部门的权限,做为IT 部门的管理者,他们应该很明白,他们的这种权限是有职责责任的。
ImYoona: 同意。我的意思是老A不能从数据库里得到用户的密码。但正如你说的,当用户输入密码登录时,老A在那时可以得到那个用户的密码。这和用HTTP还是HTTPS无关。HTTPS只 ...
- 回复 njhunter
- 本质上,A也是第三者,和用不用https是有关的。如果用https,back end用SSL是可以避免A看到password的。从end user的PC一直到mysql server是可以encrypted,除非A在建这个系统时不想这么做。
ImYoona: 同意。我的意思是老A不能从数据库里得到用户的密码。但正如你说的,当用户输入密码登录时,老A在那时可以得到那个用户的密码。这和用HTTP还是HTTPS无关。HTTPS只 ...
- 回复 世家金粉
- 问题在于,一般的公司,system administrator的权限是属于IT 部门,小编们属于业务部们,在一般的情况下,业务部门的应该是不能随便进入到 mysql (或者说公司应该都有这样的管控。
njhunter: 对于System Administrator,进入到mysql,删改任何人任何资料都是piece of cake,他不需你的密码,因为所有资料都存在mysql里,技术上很简单,学点mysql就知道了 ...
这也是我对公主个人账户里资料被删不解的原因,我认为小编是没有这个权限做这件事的,IT 的人不太可能对一个普通网友的个人帐户资料感兴趣取做手脚,如故是小编加IT 的人一起做,那就针对性太强了,并且这样的针对性,只可能是个人的喜好恩怨(或者是根据与公主有跟人恩怨的网友要求做的),那就太离谱了!
- 回复 ImYoona
- 同意。我的意思是老A不能从数据库里得到用户的密码。但正如你说的,当用户输入密码登录时,老A在那时可以得到那个用户的密码。这和用HTTP还是HTTPS无关。HTTPS只是防止了第三方在数据传送过程中获取密码。
njhunter: 说到password,也不是安全的。A是很容易知道你的password。对这些网大家不要用和你其他账户一样的password。要随时准备好别人看到你的password进入你的账户。
pa ...
- 回复 njhunter
- 对于System Administrator,进入到mysql,删改任何人任何资料都是piece of cake,他不需你的密码,因为所有资料都存在mysql里,技术上很简单,学点mysql就知道了。
世家金粉: 公主,问你一个问题;
按你对中文网使用的这个软件与系统的了解,如果小编们要进到网友个人的帐户里是需要这个人密码的吧?但是密码应该不是小编们随便可以取得 ...
- 回复 njhunter
- 说到password,也不是安全的。A是很容易知道你的password。对这些网大家不要用和你其他账户一样的password。要随时准备好别人看到你的password进入你的账户。
password在mysql是encrypted,但从你的PC到美中网server的传输是plain text。你的password可以从网络被intercepted,因为美中网是用http,不是https
至于法律问题,他们看你所有的资料都是合法的。只有他们用你的资料做什么事时才牵涉到法律问题。比较复杂,我们可能说不清。即使专业律师也未必说得清。
- 回复 世家金粉
- 公主,问你一个问题;
按你对中文网使用的这个软件与系统的了解,如果小编们要进到网友个人的帐户里是需要这个人密码的吧?但是密码应该不是小编们随便可以取得的? 我一直在想上次到底是什么人,以什么样的方式进到你个人信箱,他们是以什么样的技术手段与方式对你的个人资料进行了删减?
因为我认为,上次对你账户做了手脚的一定是个人所为/个人的行为,应该跟中文网没有关系,我的意思是说,中文网应该不会有任何的原由要做这件事,我不相信他们的主编会要做这样的事情,这应该是某个个人做了不是工作职责和允许范围内的事情,那这就有点蹊跷: 1)从技术手段上来讲,这个不该他工作职责应该做的事情,他是怎么做到的? 2) 这某个人,为什么要去做这件事情? 3) 从工作职责上来讲,这是属于违规的事,中文网知道了,会不会坚强对他系统与网站的管理?
- 回复 世家金粉
- 我是还记得那件事情,我认为是挺严重的,我一直在想是否要跟他们的主编反映一下,我相信他们的主编是不知道这件事的。
ImYoona: 还记得那事呢,我也没啥重要的东西,删了就删了吧。大编们千万别放在心上
。不过金粉家东西就别乱来了 
你说的应该是公司愿意出钱开发用于自己核 ...
他们进到你私人的帐户里删掉你的资料,这个跟你的资料是否重要没关系,无论删掉的资料重要与否这都是个法律问题,即使你的那个资料是造谣诬陷,在你没有公开发布之前,他们都没有权力去处理的,这就是隐私权。我想像不出哪个网站还可以这样干。
我说的网站的法律问题,是他与他的使用者与客户的法律契约,不管这个网站使用任何的技术与软件,他都有法律责任保护客户的隐私权,如果他做不到或技术上做不到,他就不应该开公开的网站,没有人逼你开网站,开网站首先要履行是法律责任与义务,否则他就要明白他是承担着法律风险的,法官是不会接受你不能保护客户的隐私是因为你你网站技术达不到,如果这样的话,你就是欺骗,因为你明知道你做不到,你不向你的使用者说明还要开公开网站,让你的客户的隐私权受到侵犯,这也是法律问题。如果开网站者,监守自盗,问题更严重。
- 回复 ImYoona
- 还记得那事呢,我也没啥重要的东西,删了就删了吧。大编们千万别放在心上
世家金粉: 系统的拥有者/架构者可以看见/获取系统中的任何数据,任何系统都一样,从技术层面上来讲,这个是没有疑问的。
但严格意义上讲,是否可以随意获取系统中客户( ... 。不过金粉家东西就别乱来了
你说的应该是公司愿意出钱开发用于自己核心业务上的软件的一个主要原因。当你买个软件包来用时,很多事就受到了它的功能的限制和牵制。
- 回复 世家金粉
- 系统的拥有者/架构者可以看见/获取系统中的任何数据,任何系统都一样,从技术层面上来讲,这个是没有疑问的。
但严格意义上讲,是否可以随意获取系统中客户(或使用者的私人信息),这个不是技术的问题,这是法律问题,任何一家公司这方面都应该设有严格的内控制度来规定什么样的层级的工作人员,可以获取系统中什么样层级的信息级与内容(并且必须是与他的工作职能有关),如果要越级获取信息资料必须要有合理的理由,并且,获取客户的任何资料都是要严格保密,绝不能对外分享,如金融系统与银行系统,这方面的内控制度与控制是非常严格的。
中文网显然是缺乏这方面的管控,从他们上次到你的个人帐号里把你自己留用的资料delete 就可看出一斑, 这个是法律问题,中文网应该在这方面建立相应的内控制度,一般的小编不应该随意获取用户的私人信息,更不要说小编进到客户的私人帐号里面delete 客户自己的私人资料,这是现今一个网站最起码的法律要求,中文网如果不加以重视,一个开在美国公司的网站,这样搞,早晚要出事。
Google 当时退出中国大陆,其实这个是其中的原因之一(在必要的时候,是否愿意提供使用者的资料给所在国政府). Yahoo 好像早前因为提供使用者资料给所在国政府,到国会被听证过。
这其实是个非常严肃的法律问题。
- 回复 ImYoona
随笔: 我理解错了,你說的应该是query吧。老彭请你去核实他博中的资料。
对,我其实不知如何用中文说这些词。我的计算机知识都是在美国学的。老彭在哪呢?我只能进自己家的数据库,美中网的数据库我可进不去的 
- 回复 随笔
- 我理解错了,你說的应该是query吧。老彭请你去核实他博中的资料。
ImYoona: 数据库是MySQL,里面包含了近三百来个数表。应该可以link到Access,Access的确有些图形使用者界面可以帮助用户不写语句就能提取数据。不过一般专业人士不大可能 ...
