小学已经推迟开学了,昨日班主任通知要在“天府新区教育系统抗击新冠肺炎专项统计平台”进入每日健康打卡,其实很不想,但是还是参与了,不能搞独立嘛。
天府新区教育系统抗击新冠肺炎登录入口
http://tfxqdaka.lepayedu.com:10001/
一、技术支持
天府新区教育系统抗击新冠肺炎专项统计平台,技术支持:成都乐陪信息科技有限公司。这个公司是干嘛的?我在企查查看了下。
1、经营范围:
软件技术开发、技术咨询、技术服务、技术转让;计算机软硬件研究、销售和技术服务;计算机技术服务;计算机系统集成;数据处理与存储服务;通信设备销售及技术服务;大型活动组织服务;教育软件的销售;教育咨询(不含出国留学咨询及中介服务);办公设备销售及技术服务;摄影器材销售及技术服务;文具办公用品的销售;企业管理咨询;展览展示服务;综合布线;设计、制作、代理、发布国内各类广告;家具销售及技术服务;物业管理;停车场管理服务;建筑装修装饰工程;建筑劳务分包;雕刻艺术创作服务。(以上经营范围不含国家法律、行政法规、国务院决定禁止或限制的项目,依法须批准的项目,经相关部门批准后方可开展经营活动)。
2、专利信息:
专利信息基本上是和教育相关的,设计学生、学校、教师等。
二、第一次使用现信息外泄
作为一个产品和前端开发人员,我咋就那么敏感。信息外泄这种事情我不好说的,虽然不是完全的外泄,但是确实是一个风险系数极高的权选控制没有做。
1、设计缺陷:
登录系统的方法是输入学生(其他指定身份也可以)的身份证号码即可进入系统。进入之后便可获取学生的所在学校,可以选择所在班级,填写班主任。学生的信息是与教育信息(不知道哪里来的,可能是合作、授权等)是绑定一起的。
2、风险暴露:
已知学生(其他指定身份)身份证号,便知其学校、班级信息。换句话说,如果我们做“大一点”,身份证号可以遍历或用字典来生成的,那…………是否可以统计出所有学生或小学的信息?
3、建议改进:
登录做限制,应该以一个ID,类似手机号、微信号作为中间件,去绑定学生的身份证号,然后授权去匹配学生和学校信息。
三、第二次使用现流程bug
这个bug应该是数据重写一条sql或新增一条或是同一条做记录时,出现为成功。
1、复现bug:
上一日已经“打卡”,在系统有记录后,今日继续打卡,有选择信息“无更变”快速打卡,和新建信息打卡两种方式。如果选择快速打卡,提示打卡成功,但是系统中没有今日记录,仍然是上一日记录。
这个整改没有什么好说的,小问题。新建或标记一条记录即可。