|
主题:自动升级隐藏巨大的隐患 [收藏主题] | 转到: |
以下是引用一生有你在2009-9-26 21:27:00的发言:
不同意楼主的观点
1.官方放的待升级文件首先是经过严格的测试后才放到服务器上,而服务器上的文件也是严格设置权限,只能读不允许修改,一般的webshell是改不了这些文件 2.用户要获取是否有最新文件,首先要访问官方的version.xml文件并且用户已开启自动升级功能,而不是访问其它任何文件都可以修改.另外每次要更新的文件个数也是严格控制,而不是像你说的想改什么就改什么 3.这个功能可以让用户第一时间知道有哪些最新补丁.有什么不好的呢?就拿上次的漏洞补丁,如果用户能及时的打上补丁.我想也不至于会被挂马. 4.官方已完全为不想在线升级的用户预留的是否在线升级的设置,具体打开admin/ks.update.asp就一目了然 '是否允许自动检测最新版本 true 允许 false 不允许
综上分析不想在线升级的用户大致如下:
1.对系统经过二次开发 2.给客户做网站,怕让用户知道用的是科汛系统(这样的人我是最BS的),你为用户做了站,收了用户的钱理当应该保证用户网站安全,我们经常接到类似"这样的电话.我们网站请了某某人开发,现在出现问题了.原来做网站的人找不到了"
除了以上两类人,我暂时还真想不出有什么理由拒绝在线升级,官方后台及时信息的理由了,目前我知道的部分web产品中,也有部分是提供在线升级功能的,难道都是错误的? 如果你怕的是安全问题,请按我上面说的第4点把在线升级功能关闭掉,而如果你是我上面分析的第二种人,我再次bs你。
另外上面你说到的官方在index.asp放了统计,这个仅仅是统计作用,你查看源文件都可以看到放的是cnzz的统计器,难道官方免费开放源代码给大家用,连知道到底有多少个用户在使用的权利都没有吗?盲目的开发,连有用户在使用没有都不清楚,有何意义?我还想不出其它同行CMS是怎样统计用户的.难道其它开发商就不会这样做吗?他们所说有几十万用户,难道就是凭空说出来的?
以上纯属我一人观点,欢迎拍砖!
同意!严重同意。可能,有的用户以前是商业用户,过段时间不是了,有害怕官方为难他的系统不安全,怕官方采用一些激进的手段来迫使其重新加入商业用户,一句话,不信任官方。
|
|
支持(0) | 反对(0) 顶端 底部 |
支持(0) | 反对(0) 顶端 底部 |
<上一主题 | 下一主题 > |