论坛网友“大步流星”6月27号在论坛反映帐号被盗,恶意回帖,我们管理团队与技术团队高度重视,认真排查,并与该网友进行沟通,并于6月26日在公告里做过了简单说明。但是公告过后,此事依旧受到相关管理部门的高度重视,要求我们给网友一个明确的说明,避免造成混乱,因此,关于论坛安全防范措施上,我们技术团队特说明如下:
1、赤壁论坛所使的论坛程序为腾讯旗下的 Discuz! 技术架构,全球已有300余万家独立网站社区(几乎所有的主流论坛)采用 Discuz! 软件或核心技术建立自身的论坛 BBS 系统,系统安全性上是有足够的保障。
2、赤壁论坛所使用的空间由阿里云提供,阿里云是中国的最大的云计算平台,服务范围覆盖全球200多个国家和地区。为企业、政府等组织机构,提供最安全、可靠的计算和数据处理能力,主要客户有微博、知乎、魅族、锤子科技、小咖秀等一大批明星互联网公司。在天猫双11全球狂欢节、12306春运购票等极富挑战的应用场景中,阿里云保持着良好的运行纪录。事情发生后,我们及时向阿里云提请安全检查,他们工作人员经过细致检查后,反馈服务器暂无被黑记录。
3、服务器和论坛后台登录,我们有严格的权限设置,同时有最严格的日志记录(这个也是国家相关管理法规要求的),而且是不可修改的,当日我们服务器日志显示网友投诉的被“盗号”时间阶段,所有后台管理没有后台登录记录,更无对该号的操作记录。
4、还有一个核心技术在于论坛的登录密码是采取的加密算法其实就是两次MD5加密,首先用明文进行一次加密,之后随机生成一个salt,再把第一次的密文后面添加salt作为明文再进行加密。说人话就是,后台技术要获取任何一个用户的密码,包括管理自己密码忘记了,唯一的方法是修改密码,而不可能看到原始密码。但是该网友投诉“盗号”后,早上依然可以登录该号发帖,所以不存在密码被人修改。
5、所有网友的操作行为,我们论坛后台也会有详细的日志记录,该记录也会按照国家的相关管理制度,严格保留一段时间,而且为了防范出现内部管理违规操作,我们在技术上设置了日志可以被删除,但不能被修改。意思就是,如果内部有暗箱操作,内部人员只能把所有的日志文件全部删除而不能去修改日志文件。但是该会员近三个的操作日志全部保留,投诉被盗号的日志也全部保留,日志表明,当晚12个小时内所有的登录IP和操作IP同为他一直使用的地址,所以也不存在号码被其他人使用。
6、针对可能是弱密码被套的可能,我们也做过技术防范,曾经有一段时间论坛充斥“小姐”帖子,确实存在帐号被盗,但是盗取的原因很简单,用户名与密码相同,或者密码为111111、123456等弱密码,后台我们也采取技术措施,新注册会员或者登录会员,弱密码会反复提示硬性要求修改成强密码,而且该会员第二天也将密码提交给我们管理人员验证,为数字加字母,属于安全密码,被套可能性较低。
7、综上所述,本次论坛会员密码被盗一事,从技术层面分析无可能,但是我们以后也会加强管理,提高安全措施,让网友更放心。同时,从该网友角度考虑,我们认为他作为非专业网友,在手机操作论坛上并不熟练,可能会存在一些误操作,可能确实存在一些误会,后期也做了解释,我们相信也无恶意。因此我们对该会员做一次提醒,如果有任何类似情况,请先到论坛事务投诉,我们的工作人员会及时处理,给出满意答复,答复不满意,可以投诉到我们热线负责人或者相关管理部门报案。我们不希望再有类似混淆网友造成混乱的帖子发生,一旦存在,一定严厉处理。
从论坛开通第一天开始,我们论坛创始团队为了保证网友的权益,防止论坛管理人员(管理、版主、后台技术)暗箱操作,对网友不公平,在技术和制度上做了很多巧妙的设置,比如论坛管理人员操作任何一个会员的帖子,我们会硬性设置该操作人员强制给会员发送短消息,告诉会员该帖子被处理,为什么处理,也就是说,任何管理上的操作,都可追溯,有据可查,且据不能被修改。
我们希望论坛是一个和谐的论坛,是赤壁真诚交流的平台。管理团队会信守几条底线:1、严格遵守国家的法律法规;2、我们可以不赞同你的言论,但我们坚决维护你发言的自由;3、不参与论坛争论,不做暗箱操作。
真心希望,赤壁热线,能够让赤壁人感受的更多真诚和温暖!
赤壁论坛管理团队、赤壁热线技术团队
2016年6月29日
|