中小企业的信息安全管理真的太弱了

2017-04-23 21:00:06 +08:00

ericgui

今天和一个大学师兄通话
他开了一个知识产权代理公司（代为申请专利和商标什么的），公司30多人了
他们找了个外包公司做了一个后台管理系统，
结果我一看，你们猜怎么着？

1 、管理员密码是 6 个 1
2 、联系人和业务案件详细内容，堆在后台，一览无余
3 、这个破系统一看就是用某个开源框架搭起来的，功能残缺，至于漏洞和安全性，简直就更不用说了

我也是射了，实在无力吐槽，而且就这么一坨狗屎，还花了 3 万， 2 个月工期延期到 4 个月。。。。。

现在外包的钱这么好赚么？

PS：搞了半天，这密码是6个1的账号，还是一个超级管理员账号。。。。。

11076 次点击

所在节点

程序员

94 条回复

rssf

2017-04-24 08:51:02 +08:00

老板压根不重视安全，一分都不想给安全投入，底下的人重视个毛

BoiledEgg

2017-04-24 08:51:17 +08:00

才 3w ，还做了 4 个月，那个外包公司也是亏了。

firefox12

2017-04-24 08:55:27 +08:00

这件事最大的难度是你要能找到一家需要用开源软件搭系统的企业，并且把你的产品以 3 万块的价格卖给他。技术在这里大概只占了 10%。而且绝对是可替换掉。能说服企业买你的产品才是最重要的。

meisky6666

2017-04-24 09:20:05 +08:00

@dven 稳！

linxl

2017-04-24 09:24:48 +08:00

这是一个双输的外包项目

chairuosen

2017-04-24 09:25:25 +08:00

上家公司生产环境的 jenkins 放在公网域名上并且没有密码。。。。。

riverphoenix

2017-04-24 09:29:12 +08:00

其实我觉得你说的这个问题，可能根本不在人家的考虑范围

goodniuniu

2017-04-24 09:33:29 +08:00

3w 搞 6 个月，人都给搭进去了。。。

lusheldon

2017-04-24 09:42:29 +08:00

密码是可以改的，管理员密码肯定不是开发者决定的。后台内容没有隔离，那是用户自己没有提这方面的需求，用户自己不了解需求，难道指望开发者想到这个？如果提了需求，至少再怎么 ugly 的方式开发者都会尝试

webjin1

2017-04-24 09:58:05 +08:00

3 万没毛病啊。 3 万块现在北京都买不来 1 平米。至于密码弱那是小事，正式上线交付，修改个复杂的。

BearD01001

2017-04-24 10:09:41 +08:00

密码不是应该是使用者自己设置的吗？
这也能甩锅到开发头上- -||
3 万块，换做 LZ 你会在已经满足需求之后，还会考虑那些也许人家根本就不 care 的安全问题吗？
之前没搞前后端分离的时候后端语言之间套页面也有的是，现在许多不也是一样好好活着
设计 API 也未必能变得安全，开源也不该是槽点吧，开源 = 廉价？何况二次开发也是劳动
对于买方来说，需求就是实现某某功能。安全？这种东西除非有过血一般的教训，否则：安全？那是干啥的，能增加多少个用户，能带来多少流量？不能？那搞他干啥

alexfei

2017-04-24 10:13:25 +08:00

将道理定制开发的话 3w 不贵啊一线城市码农一个月薪水都不止这个数呢

Hardrain

2017-04-24 10:15:03 +08:00

还有这种密码
12345!@#$%

基于键盘布局的都不安全吧...

rswl

2017-04-24 10:29:42 +08:00

这密码又不是不能改，交付的时候都是默认简单怕客户忘记了
至于说 3w 值不值，对比下功能你自己做一样的你让他付你 3000 才算划算吗

flyingghost

2017-04-24 10:33:19 +08:00

为什么是 6 个 1 ？
因为那是用户自己设的。
为什么数据库里密码明文不 hash 不加盐？
因为用户经常忘记密码打电话来问。
为什么不用密码找回功能？
因为他们的邮箱密码也忘记了。

sigh 。。。有时候，有些问题真的不能怪开发。

SourceMan

2017-04-24 10:33:54 +08:00

密码不是可以更改的吗？

kemikemian

2017-04-24 10:35:48 +08:00

楼主,你开发的时候会用一个复杂密码,测试的时候一遍遍输入????

chemandy

2017-04-24 11:10:01 +08:00

3 万的价钱， 30 万+的要求...
就那点钱，完成业务逻辑，能用就好了，不能要求太多

surv2ex

2017-04-24 11:17:27 +08:00

3 万，要啥自行车

fengfisher2

2017-04-24 11:40:29 +08:00

很多公司都这样+1

第 3 页／共 5 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/356829

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.