1
fs20 2017-03-31 09:35:33 +08:00 1
<img id="imgVerify" src="Verify.ashx?Verify=GEFP" style="height:34px;width:150px;border-width:0px;">
登录验证码直接明文,囧 |
2
gdsagdada 2017-03-31 09:52:55 +08:00 2
src="Verify.ashx?Verify=验证码"
就这技术还是不用了,绝对的火坑 |
3
gdsagdada 2017-03-31 09:54:43 +08:00
</div>
</div> </form> </body> </html> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><title> 登录 - Pushsoftxxxx </title><link href="App_Themes/Access/jquery-ui-1.8.21.custom.css" type="text/css" rel="stylesheet" /><link href="App_Themes/Access/Style.css" type="text/css" rel="stylesheet" /></head> <body> <form name="form1" method="post" action="Login.aspx" id="form1"> <div> <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUJNzgzNDMwNTMzZGRKaBQ69IePC/q8MS3BI67BV2hVtg==" /> </div> <div> </div> </form> </body> </html> 源码两个 html 标签?这写的太狗屎了 |
4
Wy4q3489O1z996QO 2017-03-31 09:57:05 +08:00
233....
|
5
SourceMan 2017-03-31 09:57:35 +08:00
好,楼主通报下公司,今天可能因为不可控原因,在线业务暂停一天,现在就开始上个高防
|
7
UnisandK 2017-03-31 10:13:04 +08:00
笑得停不下来
|
8
gdsagdada 2017-03-31 10:13:57 +08:00
楼主初衷是好的, v2 也支持免费的东西,能开源就更好了,从你的系统看来很多地方需要改进,比如安全性问题, ERP 需要有足够的技术支持,安全性差 bug 修复不及时,还不如付费来的放心。天下没有免费的午餐!
|
9
efin 2017-03-31 10:14:01 +08:00
免费的才是最贵的。
|
10
sisylocke 2017-03-31 10:15:02 +08:00 via Android
和开源的 odoo 相比有什么优势吗
|
11
SpicyCat 2017-03-31 10:15:34 +08:00 1
@pushsoft #6 验证码是用来防机器人的。可是你把验证码放到页面源码里,那机器人一读不就知道了吗?连分析图片都不用。那你这验证码还有什么意义。
|
12
gdsagdada 2017-03-31 10:17:00 +08:00
终身免费并不等于终身后期技术支持,小企业选东西也要看看背后有没有团队支持,国内几家做 ERP 的大公司产品都有很多 bug ,更别说你们公司的了。有钱能请大牛帮你们改进产品,不挣钱早晚会做不下去,放弃项目之前建议贡献给开源社区
|
13
hgrx 2017-03-31 10:19:09 +08:00
体验帐套又是什么鬼..
|
14
pushsoft OP 这只是免费的一个简单 ERP 系列,针对小微型企业的。所以免费提供给市场。说实话,用的客户也不少,同行测试的也比较多,还真从来没遇到给从这个角度给出评价的。所以,我也是一脸懵逼。。。
另外,我们公司主营业务在另外一套 ERP 系统上,专业做服务模式的。 @gdsagdada |
15
pushsoft OP @efin 我不同意你这个说法。我觉得这两者并无必然联系,之前在知乎上也看过类似的问题,当然讨论的并不是 ERP ,不过并不影响,王維鈞的答案 https://www.zhihu.com/question/22084816/answer/46846498
|
19
pushsoft OP @gdsagdada 天下是没有免费的午餐。
但是有免费的 ERP 平台(有灶+有柴+有锅+有米+有菜+有调料等),有能力自己就可以做出来一顿丰盛的午餐(没有能力的话,只能花钱请个厨子了) 如果需要创新菜,完全根据客户口味二次定制的,那肯定是有偿服务。 我觉得这对企业来说都无可厚非。 只是希望这个行业能够真正做到以服务为主,客户通过自身情况选择是否需要服务或者服务的内容,真正实现按需付费。 |
20
UnisandK 2017-03-31 10:50:51 +08:00
@pushsoft 哈哈哈哈哈没事这是你家开发的锅你跟着一起乐就行了
你不是搞技术的也不用硬去理解,大致来讲,验证码的意义在于人可以很轻易的分辨图片中的字母,但对程序是相对困难的事,这样在提升了一点点人登陆的困难之后会大幅提升程序模拟登陆过程的可能,因为程序输不对验证码。但像 1L 说的你们系统的验证码在网页代码里直接可以读到,对程序来说无法理解图片这个困难就消失了。所以验证码变成了只对人类走个形式。 真正的危险不在机器人注册账号,而是如果无法拦下程序模拟的登陆请求,我可以写一个程序挨个尝试所有的密码,直到试出正确的密码为止,这产生了安全上的隐患。 |
22
smithtel 2017-03-31 11:04:38 +08:00
有 notes 不用,来用这个。。。
|
23
Tuisku 2017-03-31 11:08:32 +08:00
来自 V2 FAQ: “我们非常欢迎创业者在这里发布自己的新作品。”
所以 V2 不反对且欢迎推广自家公司产品, 但是,请请发布在 “推广” 板块,而不是 “分享发现” 板块。 |
24
Tuisku 2017-03-31 11:12:00 +08:00
而且委实说, WebForm 技术栈应该抛弃了吧(?)
|
25
killerv 2017-03-31 11:14:01 +08:00
之前遇到过一个奇葩验证码是直接显示文本,你们验证码也是奇葩,看起来是图片,但是实际上还是能读到文本,这样的验证码只能对正常登录的用户造成一些障碍,对于机器来说形同虚设,你们公司的技术能把验证码设计成这样,要么是偷懒要么是压根不懂验证码的机制。
|
27
kurtrossel 2017-03-31 11:22:56 +08:00
我觉得楼主这个体验地址只是为了区分不同的体验账号进行登录,并不是真正的注册用户界面
所以明不明文无所谓吧? |
28
UnitTest 2017-03-31 11:26:01 +08:00
好朴实的普实公司。网站端口不是 80 ?没备案?免费的可能更贵,公司是有成本的,总要有盈利模式的。
|
29
alicli 2017-03-31 12:15:51 +08:00
这种事楼主你还是反馈给你们领导吧,
你们的技术不可能不知道这样做不对,这种行为就好比改装防盗门的地方他装了一个看起来像门的门帘。 能偷懒到如此令人发指的地步,证明他完全没有职业道德。 |
30
junp 2017-03-31 12:33:56 +08:00 via iPhone
|
31
woorz 2017-03-31 12:57:05 +08:00
|
32
fastss 2017-03-31 12:59:22 +08:00
拉鸡巴倒 哈哈
|
33
ic2y 2017-03-31 13:09:05 +08:00
做这个 验证码 接口的人,是一个奇才。。辛辛苦苦生成个图片。。验证码都在 html 里写着。。这种水平,这个 ERP 系统敢用??
|
34
Cbdy 2017-03-31 13:13:34 +08:00
支持一下 po ,人家分享推广是好事情,还是希望能包容一点
我发现很多做这种单页应用没有做页面路由 要么用 iframe ,要么用子视图,用起来体验很糟糕,现在都 2017 年了 = =# |
35
finian 2017-03-31 13:51:57 +08:00
看到这技术栈和页面风格,仿佛回到远古时代。。。十年前在 ERP 厂写的 Web Portal 都要比这个好,至少 Portlet 是能够拖动自由布局的。。。
|
37
pushsoft OP |
38
pushsoft OP 这个不 @任何人,但针对某些个别人,评论区某些人的回答真的。。。不知道让人说什么好。本来是好意去分享一款自家的系列免费产品(跟市面上免费的单机版、阉割版确实有很大的区别,也受到了很多客户的认可。我想它应该是受欢迎的吧),对于这样的结果,我始料未及,说实话,有点想急于解释,但一时又不知道从哪儿开口好。
你对 ERP 这个行业了解多少?我们从 99 年做到现在也不是几十个人的小团队。难道一直在这个行业做的开发人员不如你?你能想到的别人都看不到? 对于评论区某些人提出的客观建议,会虚心接受,会主动去了解这块儿。也很感谢。 一直也不太喜欢去怼别人,但真的很不喜欢那些感觉有点幸灾乐祸的恶趣味。你除了在评论里发表你所谓的“高见”,你又为别人提供了什么有价值的东西? |
39
Tuisku 2017-03-31 15:45:18 +08:00
|
40
ivmm 2017-03-31 15:49:57 +08:00
心疼楼主,运营被开发和产品害了。
|
41
istark 2017-03-31 16:23:51 +08:00
你们技术估计是零时工,你问他敢不敢现身来 V 站,保证机关枪扫射,体无完肤。
你可以建议你们老板找点可靠年轻人重新搞下。 |
42
bozong 2017-03-31 16:28:27 +08:00
烂的不行
|
43
tracy909 2017-03-31 16:33:15 +08:00
找一个靠谱的 CTO...
|
44
Bardon 2017-03-31 21:25:01 +08:00
几十个人的小团队...
怀疑验证码是被拍脑袋产品给逼出来的 培训班出来的开发,也不会这么水吧...所以开发就是故意忽悠产品经理的... 以上是脑补出的 |
45
fs20 2017-03-31 21:44:07 +08:00
刚看到 回复
@pushsoft http://www.aio7.com:8189/Pushi/ 贵司的员工通道的入口,这是生产环境吧? 有心人真可以搞个字典来试你们的员工的账号…… 例如试下 admin 用户, root 用户, 1001 用户,或者社工钓鱼拿员工的姓名拼音用户 配合字典,写段脚本暴力试密码…… 这是个很大的安全漏洞 说实话,大家的评论,不是胡喷,不是不讲理,绝大部分实际上是在帮贵司找 bug ,帮你们发现产品的不足和问题,面对意见和建议,淡定点,你该感谢别人帮你指出问题才对 |
46
ebony0319 2017-03-31 23:11:53 +08:00
业务逻辑上大概看了一下,其实也还行吧。只是技术上可能确实有点...所以上面吐槽的都是技术上的一些问题。有点心疼楼主。
|
47
Domains 2017-04-01 00:51:37 +08:00
|
48
zjqzxc 2017-04-01 08:00:50 +08:00
楼主公司 99 年到现在(阿里也是那年开始的),也算是国内很长寿的公司了,拿出来的产品还犯这么些个低级错误,有两种可能:
1 、被开发给坑了 2 、想通过免费产品先培养用户,等用户用上了一段时间数据都上去了,才发现有这些不大不小的问题,出于数据迁移的考了,“被迫”迁移到付费产品 我还是更愿意相信是第一种原因 |
49
cat9life 2017-04-01 08:59:35 +08:00
ERP 谁敢用免费的..除非开源,还得有能力吃透
|
50
auhah 2017-04-01 09:07:09 +08:00
蛤蛤,这里的人根本不关心劳什子 ERP ,能找到几个 BUG 才让人开心
其实就验证码这个事来讲。。。。真的有问题 |
51
alwayshere 2017-04-01 09:17:24 +08:00
楼主不懂技术,这样给你科普一下吧,登录的验证码就是为了防止密码爆破,因为这东西是机器不能识别,而人类能识别,因此就可以有效的阻止机器穷举法爆破密码,而你们的技术人员完全不懂验证码的作用,你现在打开你的 chrome 的 console ,粘贴:$('#txtVerifyCode').val($('#imgVerify').attr('src').split('=')[1]),回车,看看验证码输入框变成了什么?你现在还觉得机器不能识别这个验证码了么???
|
52
asing 2017-04-01 09:27:29 +08:00
@alwayshere 666666
|
53
Just1n 2017-04-01 09:50:39 +08:00
楼主,他们也都是好意,这个验证码问题确实是个非常大的隐患,尤其是放公网里。
讲真,你们的技术负责人要对这个负责的。 |