收到学校要求下架学生服务相关的小程序

2021-10-28 08:05:59 +08:00
 sunnysab

我有一个朋友,咳咳,本科阶段(未毕业)开发了一款微信小程序。用户提供学校统一登录的用户名和密码,然后程序去拉取成绩、课程表、消费等信息,并提供给用户。项目是开源的,服务器放在境内云服务器上。

然后近期信息化技术中心以《数据安全法》、《网络安全法》为由,要求停止运营。此前,他们在刚开发这款小程序时向信息化技术中心提出过合作,当时对方拒绝并提出两个选项:

  1. 程序给信息化技术中心运营,学生只负责开发,都不带挂名的,并且要写信息化技术中心提的需求。
  2. 给信息化技术中心打工,维护学校的系统( C#、Java 之类),按勤工助学( 12/h )给钱。

然后谈崩了。

现在情况是:

  1. 由于需要走学校统一登录,所以数据库大概率需要明文存储用户密码。一个解决方案是,数据库中存储一个对称加密后的密码,小程序前端存储一个 key ,每次用户操作时解密。或,数据库不存储用户密码,全部放到小程序前端以满足合规性。其实没啥用,因为理论上还是能获取用户密码的。我现在倒是觉得用户密码是累赘。

  2. 由于请求过多,数据库中缓存了一些数据。一些学校页面需要近 10 秒才能访问。并且,由于一些功能大家之前不咋用,但是因为小程序使得查询更方便了,所以查询次数增多(如成绩),因此我同学认为其他一些业务数据的缓存也是必要的。

技术约束:

  1. 要走学校的上网认证系统去连公网,不然啥都传不出去。
  2. 信息化技术中心总能顺着网线找过来。

其他:

  1. 其实做这个事情最大的阻力还是同学指导老师,都不会和信息化技术中心争取一下。
  2. 其实是学校网站里的一些数据有问题,他们不想我同学频繁查,这样去提数据有问题的人就变多了。为此他们还让我同学下架了一个模块。
  3. 感觉是学校部门之间的问题,信息化技术中心主要是想清闲点不给自己找事情,学校知道了不知道会不会支持。其实服务器放学校什么的,包括运营和学校联合起来、我们都接受的。
  4. 该项目从设计之初就是不盈利、无广告。云服务器靠学校报销,无金钱利益牵扯。

请问:

  1. 个人为主体的小程序,在这种情况下,数据是否存在合规性相关问题。
  2. 不想这个项目荒废,现在应该咋办?我同学打算先拖拖,后面以个人名义运营。
13677 次点击
所在节点    问与答
149 条回复
sunnysab
2021-10-28 09:04:50 +08:00
既然你们都这么说…

其实还是不想下架的,毕竟
li746224
2021-10-28 09:05:46 +08:00
@sunnysab #13 学校做了内网访问限制,还搞到公网的话。出事的话很刑,很有判头
locoz
2021-10-28 09:07:48 +08:00
@sunnysab #19 存内网也会经过你们手上,即使你们自己觉得自己不会作恶,学校方也不一定会这么想,只要经过你们手上就会有安全隐患,你们就会有风险。

举个例子,假设网上突然爆出了个你们学校信息泄漏的事情,那学校方本来就知道你们做了这东西,第一时间肯定会想到数据是不是从你们这出去的,要是刚好泄漏的数据符合你们缓存的数据内容,那你们真的就是有口难辩了。
forbreak
2021-10-28 09:08:26 +08:00
要么不做了,要么给信息化技术中。 如果出事,或者有其他原因需要找你事。《刑法》第二百八十六条,破坏计算机信息系统罪。 这个真的可以套你身上。你可以百度搜一下案例,真的会吃牢饭的。不跟你开玩笑。。。。
sunnysab
2021-10-28 09:08:47 +08:00
(这个编辑器回复怎么奇奇怪怪的,一不小心就提交了)

毕竟团队写了一年多呢,用户数和访问量也还可以,但是确实替代了学校系统的大部分常用功能。
一时间放弃这个项目,这个决定挺难做的。
之前确实考虑简单了😐
wanwaneryide
2021-10-28 09:10:49 +08:00
前几年,试过一款软件,获取微信的扫码登录的界面,微信直接就能扫码登录了。不知道能否在小程序上做一个类似的功能,还是获取的学校的网站登录界面,这样就不用记录账号信息了,登录成功了就用 cookie 拉取数据啥的。不太懂技术,只是一个大概的想法
locoz
2021-10-28 09:11:52 +08:00
@sunnysab #25 不需要放弃啊,改本地化运行就行了,比如用 electron 搞一个。
yolee599
2021-10-28 09:12:03 +08:00
@sunnysab #13 把内网映射出去做大死,真的能判刑
sunnysab
2021-10-28 09:12:23 +08:00
@forbreak 这个看着感觉像删库 /写病毒?😐


@locoz 确实……
mringg
2021-10-28 09:13:33 +08:00
找校长 /负责信息的分管副校长聊天就好了,最终应该会有满意的解决方式。ps.找到预约渠道,提前预约好
whywaoxaks
2021-10-28 09:14:54 +08:00
学校越 low ,幺蛾子越多(可能冒犯了。。)
我上学时,学校给新生发的学校网上服务的手册里,还会推荐一些纯学生开发的 app
justrand
2021-10-28 09:14:59 +08:00
@chotow #16 回扣啊,老兄。人家花那么多钱,搞这么烂。猜测这回扣还不得很多啊。
iyear
2021-10-28 09:15:00 +08:00
如果学校不提供统一认证平台的第三方应用接入的话,基本没办法。我们学校就是应用走 cas 然后让用户登录,这层是学校部门的,然后跳转到应用就可以从学校拿数据了。不过所有应用都要学校备案过

只能看学校愿不愿意变革了,网络中心的人不想干就没法了
sujin190
2021-10-28 09:15:34 +08:00
你直接存用户账户密码调学校系统,如果学校不同意小心按入侵计算机系统罪直接给你弄进去,他们要是较真还真不好说,所以还是想清楚
forbreak
2021-10-28 09:17:45 +08:00
@sunnysab 软件类的很多违法好像都是拿这个判的。。。比如爬虫,比如拉别的厂商数据自己分析,甚至屏蔽别人的广告等等反正各种损害的其他厂家利益的。或者其他数据提供的厂家不想让你去拿这个数据你拿了。这个罪名模糊到跟寻衅滋事罪差不多了,反正软件类,不知道怎么判就用这个罪名。 删库 /写病毒这种都一定是违法的。这个是有很多你跟不不知道,或者没意识到的,法律没明确规定的违法。
Felldeadbird
2021-10-28 09:22:47 +08:00
不知道你们找信息化技术中心什么人谈话的。一般这种情况先找辅导员,或者更加上级的老师。如果能找到管理学生成绩系统的老师就更好。

也别指望这些事情可以搞得到,毕竟成绩系统被黑了,你非常容易成为背锅的。
BurneJones
2021-10-28 09:27:24 +08:00
为了自身安全,停
Telegram
2021-10-28 09:28:06 +08:00
@cpstar #14 是你自己没理解他的意思把,他说的也不是钱的问题啊,就是采购部门相关领导的面子问题啊
Vegetable
2021-10-28 09:30:40 +08:00
都在纠结什么存密码,然而这个行为本身就是灰色的,人家不让你弄你就只能停,存不存密码都无所谓。
wuxiao2522
2021-10-28 09:37:47 +08:00
发个通知:因学校信息化技术中心 balabalabala ,本小程序将于 2021 年 10 月 31 日 24 点无限期停止运营。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/811121

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX