论坛 › 数据安全 › 什么鬼！下单成功跳转他人账号？

stay_sun 发表于 2015-10-19 10:34

什么鬼！下单成功跳转他人账号？

获奖详情:http://bbs.chinaunix.net/thread-4203428-1-1.html


前言：
       作为一个要当爹的数据库工程师，去贝贝上采购一部分用品，接下来发生的事情让我反思。


介绍：
       海外购，母婴市场现在真的是非常火爆，宝宝树，贝贝，蜜呀。但火爆的背后也存在一些安全隐患的问题,且不说海外购的买到的假冒伪劣的风险，单纯账号安全问题都不能保证，如何让用户信赖？
      今天遇到的问题是，正常登陆我的账号，买完东西，一会一看，却变成别人的账号了。这不禁让我联想到，前一阵子支付宝存在的“实名认证漏洞”，用户在不知情的情况下，其账户下多绑定了5个账号。与支付宝的漏洞比起来，前者的错误却是有些低级了。
      以下，是我的登陆后出现的问题，给大家上图说明下：   
我的账号


别人的账号



资料我都有哦


其实我电话姓名 什么的全有啊


讨论问题 ：
    1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？
    2 上述原因可能因为什么?
    3 遇到这样的问题咋办呢啊?


活动时间：2015年10月19日—2015年11月19日


奖品设置：
活动结束后将评选出最佳评论奖1名，赠送CU定制衬衫一件。

http://bbs.chinaunix.net/data/attachment/forum/201510/14/1603415rnpunrjgzngjkb1.jpghttp://bbs.chinaunix.net/data/attachment/forum/201510/14/160338qxww3670w6b00xxd.jpg

选取1名最佳参与奖，赠送山水健康智能手环一个


活动结束后，额外选取3名参与奖，赠送CU技术图书徽章各一枚（CU图书徽章不限制时间可兑换书库现有的图书，以及最近活动新书，兑完为止，先到先得。）
http://bbs.chinaunix.net/source/plugin/itpub_medal/medalimgs/book1-big.gif
书库链接：http://bbs.chinaunix.net/thread-4074217-1-2.html

chenxing2 发表于 2015-10-19 16:06

讨论问题 ：
    1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？

       现在我差不多处于这种状态下。
       这个管理者以前做过技术后来转管理了，联合创业者之一，负责技术这块。
       做产品按照做项目的思维来，而且总觉得自己很厉害，说这个简单、那个简单，
       对技术上不关心，只对进度感兴趣，各种管理方式折腾、每天要***，**就算旷工，等等各种奇葩行为
      然后找各种奇葩理由让加班赶进度，只要出结果就行了，所以我们只能关注结果，关注速度，其他没法弄............
      还老说要有互联网思维，互联网思维是个啥鬼{:yct25:}

    2 上述原因可能因为什么?

       可能后台开发人员的一个bug，导致用户session错乱


    3 遇到这样的问题咋办呢啊?

       要是用户，就先占时别用这个网站了，指不定还藏着啥问题呢

       如果是开发者，就赶快修改吧，丢失了用户，啥都别提了

第一最寂寞i 发表于 2015-10-19 16:31

我是来水贴的，看看能不能拿个徽章纪念一下{:qq23:}

xkf01 发表于 2015-10-20 08:36

   1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？
      看公司福利待遇和个人职业道路的成长空间，要么自己在公司内部自己转型，不一定要在技术的吊死，要么骑驴找马，当前公司做个缓冲，换一个公司
    2 上述原因可能因为什么?
      会话session或者cookie信息没有严格验证，把以前历史的COOKIE信息或者同一个网段的IP名混淆了
    3 遇到这样的问题咋办呢啊?
      自己的安全问题最重要，如果是公司的一员，把问题报上去，不要轻易自己下手解决。
   

amarant 发表于 2015-10-20 09:36

本帖最后由 amarant 于 2015-12-16 10:46 编辑

    1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？

我不知道国内在乎技术的公司有哪一些，看起来技术只是他们赚钱的工具而已。作为打工仔，只能听老板的话，老板要什么就做什么了。本着自己工匠情怀，力所能及地把能做好的事情做的更好

    2 上述原因可能因为什么?

网页上线前，未做充分的测试。开发员对自己的代码没有充分审核，考虑各种可能的情况。

    3 遇到这样的问题咋办呢啊?

老板： 给员工扣绩效
员工： 这不是我的问题，是因为xxxx和yyyy。总之我没有错。
客户： 发个帖子调侃嘲笑一番

chenyx 发表于 2015-10-20 15:01

讨论问题 ：
1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？
有可能的话，换下家公司吧。不在乎技术的公司，很难长久。

2 上述原因可能因为什么?
会不会是cookie缓存的问题，或者是cdn之类的缓存出问题了。

3 遇到这样的问题咋办呢啊?
调查出问题的原因，从根本上解决。

cuienming 发表于 2015-10-20 16:57

讨论问题 ：
1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？
   有不在乎技术的公司，既不能得到锻炼，也拿不到多少工资，走人吧。

2 上述原因可能因为什么?
   后台数据错乱了

3 遇到这样的问题咋办呢啊?
   收集故障信息，按排查流程一步步排查

waker 发表于 2015-10-21 08:13

    1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？
       >>>请问有在乎的吗？
    2 上述原因可能因为什么?
       >>>眼花了
    3 遇到这样的问题咋办呢啊?
       >>>占便宜就当没发生，吃亏就投诉

yanglixing 发表于 2015-10-21 09:02

1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？
领导只关注3个问题：利润、成本、进度:mrgreen:
2 上述原因可能因为什么?
楼主是通过什么网络访问的？
我用的校园无线宽带（比较垃圾的一个网），每次访问360游戏，打开页面都是别人的登录账号
3 遇到这样的问题咋办呢啊?
这个我也不懂，已经向360投诉了;P

baopbird2005 发表于 2015-10-21 14:15

1 对于我们技术来说的话，你遇到不在乎技术的公司，管理咋办？
其实技术仅仅是实现功能的一些手段，公司的发展还是靠体验和用户群，这两方便做好了，公司就可以做的长久，但是遇到公司不重视这些，死虐技术的可以考虑走为上了。要是公司有发展，呵呵，就是被虐也有前景啊。


2 上述原因可能因为什么?
很明显的重大bug，没有做好功能测试。开发人员也没有考虑很多实际的细节，导致种种问题的出现。 遇到这样的网站要早早地远离，或者不能放重要的信息在这个网站上。


3 遇到这样的问题咋办呢啊?
像网站提出问题，让他们尽快修复。暂时不要在这个网站上从事任何活动。

查看完整版本: 什么鬼！下单成功跳转他人账号？