鐵道部購票網站曝CDN技術短板 存在泄密危險
2012年,順應廣大消費者需求鐵道部全面推行實名制、網絡購票、電話訂票等新措施,對于眾多渴望年底回家團年,順利買到火車票的消費者是重大利好,如果一切順利,這無疑是鐵道部為消費者干得最漂亮的一件實事。
中國鐵路客戶服務中心網(www.12306.cn)是網購火車票的唯一官方網站,但從12306網站正式上線至今,由于訪問量過大,不少旅客在12306網購車票時,頻頻遭遇“系統忙”而無法訪問。對此,鐵道部表示正在不斷優化相關程序,完善設備設施,增加網絡帶寬,努力改進工作。
從12360網站上線開始其訪問量持續攀升
我們愿意相信這些問題也僅僅屬于短期或個別,且可以通過申訴解決。但一個更大的隱患正在顯現,近日,在國內知名的技術論壇CSDN上,一位名叫”特總兵-AK47”的網友研究發現12306網絡售票網站存在安全問題,他認為鐵道部購票網站可能造成另一次的密碼危機。
這位網友認為,12306網站的前端基本架構是jQuery+Struts+CDN(即content distribution network),其中的CDN服務(內容分發加速網絡)是網宿科技由支持。而鐵道部互聯網售票系統集成項目則由太極軟件負責。
而據媒體此前報道稱,網宿科技自2010年起兩項主營業務CDN和IDC(互聯網數據中心)毛利率均迅速大幅下降。而網宿科技的解決之道則是開始走低價路線,“在沒有技術優勢的前提下,網宿科技打出了最擅長的低價牌,然而號稱要做行內龍頭企業的網宿科技,在高科技旗下的低價路線,面對著不斷上漲的營業成本,似乎已經走上了一條不歸路。”
而低價可能是鐵道部最終選擇網宿科技的原因之一。這造成的直接結果必然是技術層面的缺陷和安全問題隱患。
該人士列舉了目前為止在12306發現的幾項安全漏洞:
第一、不安全。查詢列車信息的querySingleAction.do,并沒有用JS語言記錄,而是用更易看懂的HTML上傳;且用戶信息采用明文記錄,網絡爬蟲可輕松抓取。
用戶信息采用明文記錄,網絡爬蟲可輕松抓取
第二、速度慢。系統將JS和CSS加載起來毫無意義,用戶點擊“預定按鈕”,就會跳出了33個CSS格式請求,每個耗時5-6秒的,直接造成網絡繁忙;網站全部采用舊時的iframe架構,每次點擊時候都要全部加載頁面,極大拖慢網速。
加載JS和CSS毫無意義,只會極大拖慢網速
第三、技術落后。除了上面提到的iframe架構,網站僅裁用了DHTMLX 2.0版本,而現在業界普遍適用的早已升級到3.0版本。
DHTMLX都已經升級到3.0啦,竟然用的2.0
這些安全漏洞的存在,似乎也讓12306目前出現的種種問題顯得不足為奇。網友”特總兵-AK47”認為,12360目前遇到的問題完全不是帶寬的問題,真正的問題在于該網站的內容分發系統完全沒有在做負載均衡處理。同時,他還向鐵道部支招,“其實解決這個問題很簡單,把網絡傳輸的內容減少90%就可以。”
【編輯推薦】
