铁道部购票网站存泄密危险 CDN服务商技术短板是主因
fmms 13年前
<div id="news_body"> <p> 2012年,顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施,对于众多渴望年底回家团年,顺利买到火车票的消费者是重大利好,如果一切顺利,这无疑是铁道部为消费者干得最漂亮的一件实事。</p> <p> 中国铁路客户服务中心网(www.12306.cn)是网购火车票的唯一官方网站,但从 12306 网站正式上线至今,由于访问量过大,不少旅客在 12306 网购车票时,频频遭遇“系统忙”而无法访问。对此,铁道部表示正在不断优化相关程序,完善设备设施,增加网络带宽,努力改进工作。</p> <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/8b49b95ef7df0fb87d0bafbbc0ace78e.jpg" width="500" height="375" /></p> <p style="text-align:center;"> 图注:从 12360 网站上线开始其访问量持续攀升</p> <p> 我们愿意相信这些问题也仅仅属于短期或个别,且可以通过申诉解决。但一个更大的隐患正在显现,近日,在国内知名的技术论坛 CSDN 上,一位名叫”特总兵-AK47”的网友研究发现 12306 网络售票网站存在安全问题,他认为铁道部购票网站可能造成另一次的密码危机。</p> <p> 这位网友认为,12306网站的前端基本架构是 jQuery+Struts+CDN (即 content distribution network),其中的 CDN 服务(内容分发加速网络)是网宿科技由支持。而铁道部互联网售票系统集成项目则由太极软件负责。</p> <p> 而据媒体此前报道称,网宿科技自 2010 年起两项主营业务 CDN 和 IDC (互联网数据中心)毛利率均迅速大幅下降。而网宿科技的解决之道则是开始走低价路线,“在没有技术优势的前提下,网宿科技打出了最擅长的低价牌,然而号称 要做行内龙头企业的网宿科技,在高科技旗下的低价路线,面对着不断上涨的营业成本,似乎已经走上了一条不归路。”</p> <p> 而低价可能是铁道部最终选择网宿科技的原因之一。这造成的直接结果必然是技术层面的缺陷和安全问题隐患。</p> <p> <strong>该人士列举了目前为止在 12306 发现的几项安全漏洞:</strong></p> <p> <strong>第一、不安全。</strong>查询列车信息的 querySingleAction.do,并没有用 JS 语言记录,而是用更易看懂的 HTML 上传;且用户信息采用明文记录,网络爬虫可轻松抓取。</p> <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/3f13b36e047ee1bc6310142e8f38e1e9.jpg" width="483" height="178" /></p> <p style="text-align:center;"> 图注:用户信息采用明文记录,网络爬虫可轻松抓取</p> <p> <strong>第二、速度慢。</strong>系统将 JS 和 CSS 加载起来毫无意义,用户点击“预定按钮”,就会跳出了 33 个 CSS 格式请求,每个耗时5-6秒的,直接造成网络繁忙;网站全部采用旧时的 iframe 架构,每次点击时候都要全部加载页面,极大拖慢网速。</p> <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/ce9b84351b6fff829514df60f31e7044.jpg" width="500" height="315" /></p> <p> 图注:加载 JS 和 CSS 毫无意义,只会极大拖慢网速</p> <p> <strong>第三、技术落后。</strong>除了上面提到的 iframe 架构,网站仅裁用了 DHTMLX 2.0 版本,而现在业界普遍适用的早已升级到3.0版本。</p> <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/35bad296377ebcb9bb1149c7249c3116.jpg" width="500" height="287" /></p> <p style="text-align:center;"> 图注:DHTMLX 都已经升级到3.0啦,竟然用的2.0</p> <p> 这些安全漏洞的存在,似乎也让 12306 目前出现的种种问题显得不足为奇。网友”特总兵-AK47”认为,12360目前遇到的问题完全不是带宽的问题,真正的问题在于该网站的内容分发系统完全 没有在做负载均衡处理。同时,他还向铁道部支招,“其实解决这个问题很简单,把网络传输的内容减少 90% 就可以。”(恰克)</p> <div id="come_from"> 来自: <a id="link_source2" href="/misc/goto?guid=4958324500195673540" target="_blank">TechWeb</a> </div> </div>