這是政府單位委外辦理的反垃圾郵件活動,就看看用用吧。
--
不過,我是看出一些東西很鳥蛋啦,首先...
這年頭垃圾信幾乎都是亂數隨便產生發送者的帳號,甚至是無辜者的帳號被用來發送出去,鮮少有真正發送垃圾信的帳號出現在垃圾信裡(像是發垃圾信新手,或是拿到舊版發信程式的發信者),這「檢舉3個發送垃圾郵件的垃圾郵件的帳號」可以說是毫無用處......這到底是那個沒常識沒知識的人寫出來的文案啊?(沒常識沒知識要多問專家,不要出來耍笨給大家看啊~)
更何況現在偽造 mail header 的技術也挺普遍的,一般人要追出真正的發信來源還不是很容易的(尤其是偉大的Microsoft Outlook還會多事自動濾掉可以追出發信來源的資訊),倒不如改用 gmail 這種免費又提供有效廣告信過濾的信箱服務。
再來,上面那一頁的「加入萬人部隊」「加入串聯行列」各自進到一個填寫表格,長得像下面這樣:
表面上看起來很正常對不對?可是我就是職業病習慣發作,看到上面網址列依然是「http://」開頭的,心裡想:「這不對啊,既然是光明正大收集民眾資料,連身分證字號和電話住址都要填寫,怎麼沒有用加密傳輸呢?」所以我就叫了這兩個表格的原始碼出來看看:(原始碼下面還有一部分,我懶得抓整個畫面了)
這是兩個表格各自的原始碼,從 form 和 submit 的寫法看得出來這是用 jQuery 來做表格控制的,所以叫一下 function.js 來看看是怎麼寫的:
看來也只是普通的 POST 出去,而不是用「https://」的SSL連線來送出資料。
我實際操作了一次,送出資料後出現的畫面如下:(有掩蓋掉部分內容)
而不是跳出下面這個畫面:(這是故意手動改網址列用 https:// 連線的畫面)
表示這個表格的資料傳送中並沒有經過SSL加密傳送。
唉,SSL安全憑證有一家很便宜的啊,一年才十塊米金,又不像 HiTrust/Verisign 那樣貴,花點小錢把該做的事情做漂亮不是應該的嗎?
--
因為法令的限制下,良民在下小弟我不敢試這個網站是不是能夠用 SQL injection 的方式來偷出資料庫裡的資料,所以「更深入的看看」就用來享用 A 片囉...... :P
