2008/07/21

[Computers, 雜七雜八] 與某公司的一段故事

這已經是幾年前的事情了。

當我還是高中生時,做了隻手機鈴聲軟體的中文化,
某公司員工來信詢問相關問題,因此而與這家公司有了連繫。

今天想寫的,是最近一次的事件,
雖然說是「最近一次」,其實也過了一兩年了;
因為這次事件,我對這家公司感到絕望。


當時許多網站開始提供 MMS Blogging 的服務,
才剛被轉戰手機製造的某主機板製造商挖角的該公司,
方重振旗鼓,打算重新再出發,其中的一項工作,
是推出 MMS Blogging 服務。

或許使用者們都不知道,該公司不甚重視線上服務,
當時的狀況是,公司一方面想要推展服務,
但另一方面,提供發展的的資源卻稱不上對等,
最後做出了個.. 比留言版好一些的東西。

在服務推出後沒多久,我便指出網站有諸多漏洞,
像是可以利用 JavaScript 進行 XSS,
竄改其他使用者的資料,或是破壞資料庫等,
但該公司總是以還有其他 project 要進行而延宕修改。

之後,我在該服務的 blog 上面寫了簡單的 JS 測試,
內容很簡單,就是不斷地 reload 網頁,
會寫一點點 JavaScript 的人,大概都會寫這句:

window.top.location.reload();

本以為這是無傷大雅的語法,但隔天卻出了大問題。

該服務會將每日最多瀏覽人次的 blog 推上首頁,
不巧的是,我把 JS 寫在 blog title 裡,
而服務計算瀏覽人次時沒有檢查重覆 IP 或是 session,
於是.. 隔天他們的首頁就炸了 (默)


前面提到過,在下和這家公司有所連繫,
而網站上也登記了連絡方式,於是..

在該公司首頁爆炸當天,我接到了一通電話,
如果沒有記錯的話,應該是所謂的網站師程工,
內容大概是「因為 blablah,所以我們不排除告你」之類之類。

就在那個當下,我對該公司感到絕望。

隔天,便打電話給該公司總經理,當時她在上海,
說明了事件的始末,並懇請她能加強使用者的資訊安全保護,
當時總經理也允諾會盡速修改。

不過,這件事情到最後其實是不了了之的,
網站經過幾次修正,除了迅速地修改了使用條款,
頁面的 script 鮮有更動,到目前為止還是有漏洞的,
而對這家公司的信任,也因此而一點一點地減損了。

故事說完了,結局實在是普通到了極點啊。


這家公司曾經說過「我們寧可拿廣告錢來做好客服」,
但現在,打了這麼多廣告,還能挽回使用者的心嗎?



[posted by cornguo @ CornGuo's BLOG, of murmurs]

沒有留言: