【TechWeb报道】2012年,顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施,对于众多渴望年底回家团年,顺利买到火车票的消费者是重大利好,如果一切顺利,这无疑是铁道部为消费者干得最漂亮的一件实事。
中国铁路客户服务中心网(www.12306.cn)是网购火车票的唯一官方网站,但从12306网站正式上线至今,由于访问量过大,不少旅客在12306网购车票时,频频遭遇“系统忙”而无法访问。对此,铁道部表示正在不断优化相关程序,完善设备设施,增加网络带宽,努力改进工作。
图注:从12360网站上线开始其访问量持续攀升
我们愿意相信这些问题也仅仅属于短期或个别,且可以通过申诉解决。但一个更大的隐患正在显现,近日,在国内知名的技术论坛CSDN上,一位名叫”特总兵-AK47”的网友研究发现12306网络售票网站存在安全问题,他认为铁道部购票网站可能造成另一次的密码危机。
这位网友认为,12306网站的前端基本架构是jQuery+Struts+CDN(即content distributionnetwork),其中的CDN服务(内容分发加速网络)是网宿科技由支持。而铁道部互联网售票系统集成项目则由太极软件负责。
而据媒体此前报道称,网宿科技自2010年起两项主营业务CDN和IDC(互联网数据中心)毛利率均迅速大幅下降。而网宿科技的解决之道则是开始走低价路线,“在没有技术优势的前提下,网宿科技打出了最擅长的低价牌,然而号称要做行内龙头企业的网宿科技,在高科技旗下的低价路线,面对着不断上涨的营业成本,似乎已经走上了一条不归路。”
而低价可能是铁道部最终选择网宿科技的原因之一。这造成的直接结果必然是技术层面的缺陷和安全问题隐患。
该人士列举了目前为止在12306发现的几项安全漏洞:
第一、不安全。查询列车信息的querySingleAction.do,并没有用JS语言记录,而是用更易看懂的HTML上传;且用户信息采用明文记录,网络爬虫可轻松抓取。
图注:用户信息采用明文记录,网络爬虫可轻松抓取
第二、速度慢。系统将JS和CSS加载起来毫无意义,用户点击“预定按钮”,就会跳出了33个CSS格式请求,每个耗时5-6秒的,直接造成网络繁忙;网站全部采用旧时的iframe架构,每次点击时候都要全部加载页面,极大拖慢网速。
图注:加载JS和CSS毫无意义,只会极大拖慢网速
第三、技术落后。除了上面提到的iframe架构,网站仅裁用了DHTMLX 2.0版本,而现在业界普遍适用的早已升级到3.0版本。
图注:DHTMLX都已经升级到3.0啦,竟然用的2.0
这些安全漏洞的存在,似乎也让12306目前出现的种种问题显得不足为奇。网友”特总兵-AK47”认为,12360目前遇到的问题完全不是带宽的问题,真正的问题在于该网站的内容分发系统完全没有在做负载均衡处理。同时,他还向铁道部支招,“其实解决这个问题很简单,把网络传输的内容减少90%就可以。”(恰克)