账号通
    

账号  

密码  

4119

查看

16

回复
主题:自动升级隐藏巨大的隐患 [收藏主题] 转到:  
kemi 当前离线

190

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:1511 分
登录次数:56 次
注册时间:2008/6/6
最后登录:2010/11/17
kemi 发表于:2009/9/26 10:11:00   | 只看该作者 查看该作者主题 楼主 
科汛在线考试系统(NET)

自动升级隐藏巨大的隐患

 

试想想,官方可以更换你的ASP、JS等文件,那么,如果官方的电脑、服务器中毒的话,那么所有的用户都将中毒!

 

而且,你一但得罪了黑客等人,他们就可以种植木马,可以更改你的任何文件(包括数据库),可以删除你的任何文件!

 

你,

现在,

还乐意接受在线升级吗?

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
高山流水 当前离线

730

主题

0

广播

2

粉丝
添加关注
级别:六年级

用户积分:3985 分
登录次数:627 次
注册时间:2006/11/3
最后登录:2024/3/1
高山流水 发表于:2009/9/27 8:24:00   | 只看该作者 查看该作者主题 沙发 
科汛在线网校系统
是的,网站备份最重要,是最有安全最有效的方法了,即使网站出问题损失也不大
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
dech 当前离线

588

主题

4

广播

0

粉丝
添加关注
级别:五年级

用户积分:4726 分
登录次数:358 次
注册时间:2007/12/18
最后登录:2013/11/29
dech 发表于:2009/9/26 21:14:00   | 只看该作者 查看该作者主题 藤椅 
科汛在线商城系统(NET)
以下是引用kemi在2009-9-26 10:15:00的发言:
还有,我一直不明白,为什么官方非要在后台文件 admin/index.asp 等里面种植统计系统,而且调用页面还是asp格式的?

我想取消这个什么WSS统计系统,不知道怎样删除?我不想使用这个统计

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
mt56 当前离线

4985

主题

53

广播

17

粉丝
添加关注
级别:版主

用户积分:23430 分
登录次数:1621 次
注册时间:2007/2/10
最后登录:2022/9/28
mt56 发表于:2009/9/26 22:23:00   | 只看该作者 查看该作者主题 板凳 
科汛智能建站系统
以下是引用一生有你在2009-9-26 21:27:00的发言:

不同意楼主的观点

 

1.官方放的待升级文件首先是经过严格的测试后才放到服务器上,而服务器上的文件也是严格设置权限,只能读不允许修改,一般的webshell是改不了这些文件

2.用户要获取是否有最新文件,首先要访问官方的version.xml文件并且用户已开启自动升级功能,而不是访问其它任何文件都可以修改.另外每次要更新的文件个数也是严格控制,而不是像你说的想改什么就改什么

3.这个功能可以让用户第一时间知道有哪些最新补丁.有什么不好的呢?就拿上次的漏洞补丁,如果用户能及时的打上补丁.我想也不至于会被挂马.

4.官方已完全为不想在线升级的用户预留的是否在线升级的设置,具体打开admin/ks.update.asp就一目了然

'是否允许自动检测最新版本 true 允许 false 不允许
const EnabledAutoUpdate=true

 

 

综上分析不想在线升级的用户大致如下:

 

1.对系统经过二次开发

2.给客户做网站,怕让用户知道用的是科汛系统(这样的人我是最BS的),你为用户做了站,收了用户的钱理当应该保证用户网站安全,我们经常接到类似"这样的电话.我们网站请了某某人开发,现在出现问题了.原来做网站的人找不到了"

 

 

除了以上两类人,我暂时还真想不出有什么理由拒绝在线升级,官方后台及时信息的理由了,目前我知道的部分web产品中,也有部分是提供在线升级功能的,难道都是错误的? 如果你怕的是安全问题,请按我上面说的第4点把在线升级功能关闭掉,而如果你是我上面分析的第二种人,我再次bs你。

 

另外上面你说到的官方在index.asp放了统计,这个仅仅是统计作用,你查看源文件都可以看到放的是cnzz的统计器,难道官方免费开放源代码给大家用,连知道到底有多少个用户在使用的权利都没有吗?盲目的开发,连有用户在使用没有都不清楚,有何意义?我还想不出其它同行CMS是怎样统计用户的.难道其它开发商就不会这样做吗?他们所说有几十万用户,难道就是凭空说出来的?

 

 

以上纯属我一人观点,欢迎拍砖!

 

 
同意!严重同意。可能,有的用户以前是商业用户,过段时间不是了,有害怕官方为难他的系统不安全,怕官方采用一些激进的手段来迫使其重新加入商业用户,一句话,不信任官方。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
komkom 当前离线

249

主题

0

广播

0

粉丝
添加关注
级别:二年级

用户积分:12425 分
登录次数:100 次
注册时间:2009/8/13
最后登录:2012/11/14
komkom 发表于:2009/9/26 22:18:00   | 只看该作者 查看该作者主题 报纸 
科汛在线商城系统(NET)
支持一生有你的观点!
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
ztcbt 当前离线

433

主题

3

广播

0

粉丝
添加关注
级别:四年级

用户积分:6981 分
登录次数:275 次
注册时间:2008/2/16
最后登录:2012/9/21
ztcbt 发表于:2009/9/26 20:57:00   | 只看该作者 查看该作者主题 地板 
做在线知识付费 选科汛云开店
这个问题值得进一步深入的探讨,后台升级的确非常的方便,如果害怕中毒,平时做好网站的备份非常的重要,事实上一个好的空间,空间商基本是一星期会备份一次,再加上自己的备份,是非常的安全的。出问题后用备份数据恢复即可。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
一生有你 当前离线

10439

主题

0

广播

18

粉丝
添加关注
级别:版主

用户积分:72521 分
登录次数:1969 次
注册时间:2006/7/1
最后登录:2021/8/25
一生有你 发表于:2009/9/26 21:27:00   | 只看该作者 查看该作者主题 7楼 
科汛在线考试系统(NET)

不同意楼主的观点

 

1.官方放的待升级文件首先是经过严格的测试后才放到服务器上,而服务器上的文件也是严格设置权限,只能读不允许修改,一般的webshell是改不了这些文件

2.用户要获取是否有最新文件,首先要访问官方的version.xml文件并且用户已开启自动升级功能,而不是访问其它任何文件都可以修改.另外每次要更新的文件个数也是严格控制,而不是像你说的想改什么就改什么,再者只有你在后台确认在线升级了,才会启作用,否则只是检测有没有新版本,并不会替换!

3.这个功能可以让用户第一时间知道有哪些最新补丁.有什么不好的呢?就拿上次的漏洞补丁,如果用户能及时的打上补丁.我想也不至于会被挂马.

4.官方已完全为不想在线升级的用户预留的是否在线升级的设置,具体打开admin/ks.update.asp就一目了然

'是否允许自动检测最新版本 true 允许 false 不允许
const EnabledAutoUpdate=true

 

 

综上分析不想在线升级的用户大致如下:

 

1.对系统经过二次开发

2.给客户做网站,怕让用户知道用的是科汛系统(这样的人我是最BS的),你为用户做了站,收了用户的钱理当应该保证用户网站安全,我们经常接到类似"这样的电话.我们网站请了某某人开发,现在出现问题了.原来做网站的人找不到了"

 

 

除了以上两类人,我暂时还真想不出有什么理由拒绝在线升级,官方后台及时信息的理由了,目前我知道的部分web产品中,也有部分是提供在线升级功能的,难道都是错误的? 如果你怕的是安全问题,请按我上面说的第4点把在线升级功能关闭掉,而如果你是我上面分析的第二种人,我再次bs你。

 

另外上面你说到的官方在index.asp放了统计,这个仅仅是统计作用,你查看源文件都可以看到放的是cnzz的统计器,难道官方免费开放源代码给大家用,连知道到底有多少个用户在使用的权利都没有吗?盲目的开发,连有用户在使用没有都不清楚,有何意义?我还想不出其它同行CMS是怎样统计用户的.难道其它开发商就不会这样做吗?他们所说有几十万用户,难道就是凭空说出来的?

 

 

以上纯属我一人观点,欢迎拍砖!

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
0516xiaoyuan 当前离线

25

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:183 分
登录次数:3 次
注册时间:2009/9/24
最后登录:2009/9/26
0516xiaoyuan 发表于:2009/9/26 14:13:00   | 只看该作者 查看该作者主题 8楼 
科汛在线网校系统
还是用手工升级比较安全一点
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
0516xiaoyuan 当前离线

25

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:183 分
登录次数:3 次
注册时间:2009/9/24
最后登录:2009/9/26
0516xiaoyuan 发表于:2009/9/26 14:12:00   | 只看该作者 查看该作者主题 9楼 
科汛在线网校系统
同意楼上说法,不过要去掉自动升级的东西,应该在哪个文件下面呢?主要有几个地方呢,请楼上介绍一下,感谢啊
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
cn2009 当前离线

1515

主题

3

广播

2

粉丝
添加关注
级别:高一年

用户积分:6151 分
登录次数:170 次
注册时间:2008/12/28
最后登录:2020/9/8
cn2009 发表于:2009/9/26 13:56:00   | 只看该作者 查看该作者主题 10楼 
科汛在线商城系统(NET)
楼上的理解有误,我觉得楼主说的有道理,杀毒软件,操作系统不能和科讯放在一起比喻,如果杀毒软件被入侵了,微软升级服务器被入侵了,那么你也就可以叹口气认命了,但是科讯不是专业做安全和防病毒的。所以黑客对付科讯可能就比对付杀毒软件和微软要简单得多,随之给网站的安全带来的威胁也就大得多了。我自己就把后台升级的相关东西都给屏蔽了。以防万一,这个时代,防范于未然还是很有必要的。不然,如果因为科讯的服务器出了问题而影响了你的网站,你会很不甘心的。呵呵。连微软都不敢说绝对,只能用相对,那么科讯是不敢给你绝对的承诺的,官方只是在尽最大的努力给大家寻找一种方便而已。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.18945秒 powered by KesionCMS 9.0