我认为某公司产品是有后门的,而且是故意为之的。这种后门还不告诉用户,如果遭遇泄露或员工恶意为之,我不知道为发生什么,我把我的疑问发出来,希望大家能够讨论,某公司的同学能有所回应。我并不是要诋毁或者说什么,我只是希望透过讨论,来让某公司做的更好。
我服一台某公司AC产品,配有外部日志数据中心(搭建在一台Windows服务器上)。不巧,很久没有登陆,我的外部日志数据中心密码忘记了(WEB页面)。由于我的产品还有服务,在保内,于是我打电话给某公司400。结果某公司400的回复惊呆了我。
我个人推测,这无非是个WEB服务,密码是存放在配置文件或SQL数据中,我可以通过修改配置文件或直接进入SQL数据库,找到相关表结构重置密码,但这需要研究,由于我向400询问恢复外部日志数据中心密码的方法。400直接告诉我,这需要他们的工程师远程操作,不能用户自己操作,注意,是必须他们的人操作,他们需要登入后台进行操作。到此,我没有疑问,我同意让他们工程师远程上来操作,但400又需要我拿着申请重置密码的文件去盖公司公章,我就很不能理解了,重置我自己系统的密码需要我盖公司公章然后找你们登陆后台操作!我的疑问如下 第一:这个操作需要登陆所谓的后台,而这个后台我作为最终用户居然没有权限,而某公司的工程师有权限,但他们不给我,我只能理解这是一个后门了,所有的某公司产品有相同的用户名密码或密钥,他们的工程师有我设备的超级管理员权限,却不给我。相当于我买的房子他有一个超级钥匙,想什么时候进就能什么时候进,但需要我审批一下。。。。。。。这不是很荒唐吗,有一天,你不想让我审批了,你也能进来啊。。。。。。 第二:我自己的物理服务器,自己的windows系统,自己的数据库,自己的IP,自己的外部日志中心,但我不能重置我的密码,因为我没有相关文档。请看下Linux或任何其他系统,都有文档指导如何重置自己的密码。世界上各大安全厂商,Cisco,checkpoint,华为,他们都有文档如何重置密码。当然,他们的工程师可以提供帮助,但用户只要去看文档也能自己重置,而不是像某公司这样留有后门。
做为一个用户,我对某公司留有后门的行为深感不安,如果我的设备是在公网上的,那么从技术角度上讲,你们的工程师想什么登陆就什么时候登陆呢?当然,他们正常情况下可能不会随意登陆用户设备,但如果员工离职,不甚泄露了后门用户名密码,又或者某公司的网络遭受了攻击,那么多买某公司设备的用户,后果不敢想象。我希望某公司能解释一下你们关于所谓后台登陆的问题,你们是如何保证用户的设备与数据安全的?
文档问题,为什么某公司的文档总是在官网找不到,总是需要联系400,你们是怕用户学会操作不买服务吗?即使是Checkpoint这种防火墙厂商,用户也是可以进入到他们的底层系统然后敲Linux命令的,这就好比是闭源的微软和开源的Linux,哪个安全,不言而喻。
最后再说一次重置密码的问题,我自己的硬件服务器,自己的Windows系统,自己的windows账号密码,然后要重置自己的日志服务器,居然不能重置,需要你们的工程师使用后门技术,然后我还要盖公章说是我申请你们用后门,天啊,我觉得无法理解,希望各位某公司的产品、技术,各位正在使用某公司产品的同学,各位IT、安全的同仁一起来讨论一下这个问题。 |