Sunday, December 02, 2007

千錯萬錯,絕對不是博客來的錯

最近登入博客來,竟然開始要輸入驗證碼, 內行的人都知道, 這樣就是防止robo 去登入, 其實就是防者被硬幹, 用字典方式破解密碼, 不過怪怪的是他需要兩的變數, 一個是username 一個是password, 用robo 來破似乎機率很低, 而且通常網站有login fail log, 只要login fail 的次數過多,通常就會引起網管的注意了, 不過雖然感覺有點怪,倒還沒想到啥

不過之前要去看看我的終巡者到底哪時候要來, 要上去Login, ㄟ..突然要我換密碼, 上面是提示是因為我太久沒有更改密碼, 好吧.就改一下, 結果密碼需要8碼以上, 這下被搞的有點莫名奇妙, 打電話到博客來的客服, 結果我得的回答讓我更覺的莫名奇妙

客服說, "因為最近木馬與病毒猖獗, 所以要換密碼", 怪怪, 我是不知道他指的是他們網站中木馬還是客戶中木馬, 可是不論哪一種, 我只要有打過密碼就應該被監聽了, 我換不換密碼還不是一樣被監聽, 這算哪門子的回答, 他到底懂不懂啥叫木馬呀??我想說算了, 先這樣

到我到7-11拿我期待以久的終巡者後, 看到上面的第2點很明白跟你講 "包材上有您的個人資料,請妥善處理勿任意丟棄",我才恍然大誤, 終於知道博客來的意思了



1. 輸入驗證碼是要告訴我們, 你的帳號被破是被硬幹的, 不是博客來的疏失, 我們也是受害者
2. 換密碼是要告訴我們, 你的帳號被破, 是你設的白癡密碼被破, 不是博客來的疏失, 我們也是受害者
3. 在包裝上的提醒是要告訴你, 都是因為你亂丟包裝, 所以不是博客來的疏失, 我們也是受害者


也就是, 千錯萬錯, 都是你的錯, 絕對不是博客來的錯

9 comments:

  1. Anonymous2:06 PM

    說的真是太好了...
    我星期六也才接到博客來的詐騙電話
    原來是這麼一回事啊...

    ReplyDelete
  2. Anonymous3:01 PM

    還好我去博客來買書都只有用超商取貨,還好我的留的姓名都是王曉明先生,還好我留的電話都是0912345678,真的是...

    ReplyDelete
  3. 博客來 為了圓1個謊所以要說10個謊.
    我也是百思不得其解. 怕吃上官司吧!

    ReplyDelete
  4. Anonymous1:06 AM

    不需要這麼一廂情願地想呀
    換成站在網管的立場
    多了這些動作一次把可能破的洞都補起來
    難道下次這些地方(密碼太簡單、包裝被撿走等)出狀況
    又要等著人家罵「當初為什麼不全部改好?」

    反正就是各司其職
    能宣導的都宣導
    捷運為什麼要費工夫派人站在電扶梯旁邊宣導抓好扶手
    你不站摔倒是你的事
    但是難保沒有白目會怪說捷運站沒有提醒大家
    換成你是主管 當然會採取最安全的措施

    ReplyDelete
  5. 其實我覺得與其說是在推卸責任,到不如說是他們還不知道資料從哪邊流出的,所以到處亂補。

    ReplyDelete
  6. 嘻..本來要回right-90的話, 結果就被o3 給講出來了..!

    其實我也是認為, 他們應該真的不知道問題出在哪, 所以亂補一通, 事實上如果是"密碼太簡單",那應該只是個案不可能全面出問題, 而"包裝被撿走"這個事更有趣, 那詐騙集團怎麼知道電話呢??!!

    ReplyDelete
  7. 我想表達點不同的意見,因為本身我也是寫程式的啦,因為目前有幾家國內較知名的 B2B 網站都發生了同一件事,所以對於最後的結論,我覺得有點大偏激了。

    1. 輸入驗證碼是要告訴我們, 你的帳號被破是被硬幹的, 不是博客來的疏失, 我們也是受害者
    輸入驗證碼就如同文章一開始的說,應該只是為了防止再次再 robot 來 try 會員的密碼,這個舉動應該是保護會員的資料,我並不會感覺博客來有推卸責任意圖

    2. 換密碼是要告訴我們, 你的帳號被破, 是你設的白癡密碼被破, 不是博客來的疏失, 我們也是受害者
    我想博客來應該是不知道有多少會員的密碼已經被炸騙集圖得到手了吧,所以全面性的換密碼對會員還有博客來本身應該算是不錯的抉擇

    3. 在包裝上的提醒是要告訴你, 都是因為你亂丟包裝, 所以不是博客來的疏失, 我們也是受害者
    這個我就比較不好推測博客來的意思了,不過應該就像是在 ATM 機器上面也會貼個小叮嚀之類的話,只是要提醒我們,博客來的客服人員不全主動請會員到 ATM 操作或是請會員說出信用卡的資料吧。

    總結

    這近這幾年國內的 B2B 發展的很快,但是大部份的網站都沒有吸取國外慘痛的經驗,其實國外很多大型論壇或購物網站,在登入的時候早就已經加上了驗證碼的判斷,以防止有心人利用程式去 try 會員的密碼,經歷了這次的事件,那些網站也都做了這層的防護,對於消費者來說當然是不錯,不過網路是一個開放性的平台,如何真正的做到安全實在是令人很擔心,或許像 Yahoo 這些全球性的網站,可以分享一些經驗給大家,相信對往後 B2B 的發展應該是不錯的。(不過很難啦,畢竟是商業機密嘛)

    ReplyDelete
  8. To huee11 :

    感謝您那麼詳實的回應, 其實您的回應,我想才是真正博客來的回應, 只是博客來的態度讓人無法接受

    1. 有趣的是, 全球最大購物網Amazon就沒有驗證碼, 他為什麼不怕被破 ??另外的是, 如果網站大量被robo try, 為什麼到現在才處理, 難到他們都沒有LOG

    2. 如果覺的密碼被盜, 那種要公怖一下, 至少說一下實話, 說我們可能被盜, 請你換帳號, 但看來博客來是不會低頭

    3. 這一項我的解讀不同, 不過似乎您的解讀也是合理的

    我本身也是從事程式設計, 也做過網站相關設計與維護, 可以了解技術上的問題與辛苦, 但是我質疑的是博客來的態度, 完全不願讓人知道他們發生了什麼事, 如果我把客服錄音放上來你會了解他們是怎麼把客戶當白癡耍, 這樣的情形讓人很難把資料交給他

    ReplyDelete
  9. 這次博客來要求使用者更換密碼的動作,也讓我小有不爽。他們要求使用者一定要更換密碼,否則就不給你用喔!

    這樣就算了,反正換個密碼不是什麼很難的事情,就換一下吧!等等再換回來就好了。但是要換密碼時發現,他們竟然對密碼有著「必須至少有兩個數字」的強制性限制。我自認我的密碼有大小寫英文又有數字(雖然只有一個數字)已經夠安全了;不遵照他們所提出的(我覺得很奇怪的)要求,就得受到不能使用的懲罰?

    真的是很差勁的使用經驗。

    ReplyDelete