关于尘缘所开发接口中携带量子统计的申明

这段时间有用户反映接口有安全问题,在尘缘及时跟踪处理后,用户已经找到问题原因,打消了所有疑虑,同时也继续使用尘缘的相关产品。

虽然事情告一段落,但尘缘本着负责的态度,提醒各位用户做好以下安全工作,避免出现安全风险。

以下是部分用户提出安全问题:

  1. 不管接口文件名修改得多复杂,会不会有软件能扫描到接口文件名:只要文件名够复杂,服务器够安全,暴力扫描成功的成功率不压于海底捞针;
  2. 统计代码会往我的服务器发布甚至执行恶意代码:统计代码是浏览器端的JS代码,不会往服务器发往恶意代码,更不可能在服务器端执行恶意代码;

在技术人员,上面的问题可能很简单甚至有点可笑,但用户的疑虑和安全这个敏感的话题始终会绷紧大家的神经。

用户在火车论坛发贴以后,尘缘及时发布申明回应用户的疑虑,以下是公告正文:

今天有用户向尘缘反映此问题,尘缘非常重视,特别做出以下申明。

尘缘以前开发一系列接口中,均携带尘缘的统计代码,用以统计免费用户数量。不过大家可以放心,这不是什么后门或者安全问题。

  1. 放置统计代码并不是放置后门程序,而是统计接口的使用人数,敬请理解:
  2. 放置代码仅为统计使用数量和确认用户使用接口是否被授权,免费接口中均加有此统计代码,DEDE、PHPCMS等众多CMS均有此类统计代码,作用一样;
  3. 但同时为了避免其它安全风险,尘缘强烈建议用户修改接口文件名,这样是统计不到数据的;
  4. 接口中的HTML代码在火车发布时,统计代码是不能被激发的,任何数据都不会被统计到,大家可放心发布;
  5. 尘缘保证不会在任何接口中放置其它非法代码,更不会利用接口加密的方法向任何用户发起攻击;

由于部份用户对放置统计代码不放心,尘缘在2010年中的接口版本中已经取消了统计代码,但免费版接口未自动取消,因为是开源的,任何人可以阅读和修改代码。

部份用户可能对接口加密不太了解,尘缘也作相应的解释于后:

  1. 加密的主要目的是为了防止接口滥用,既损害了收费用户的利益,又挫伤尘缘的开发动力;
  2. 加密的同时,也是为了避免安全问题,以防止其它用户研究接口漏洞造成的攻击;

尘缘不会对任何用户做为不安全行为,而且尘缘才是最想保证接口决对安全的人:因为不管是不是因为接口或者其它人为因素造成安全问题,各位用户肯定会找尘缘理论。

尘缘不敢伤害也不会去伤害任何用户的利益。

  1. 2010年是一个有关用户利益的一年,尘缘深知用户隐私大过天,尘缘向各位用户保证接口的安全的同时,也请各位用户作好以下几点安全措施:
  2. 免登陆虽方便,但也要修改文件名,避免它人恶意访问;
  3. 接口长期不使用时,建议删除;
  4. 使用旧版本接口的用户,接口如果有统计代码的,可以联系尘缘更新接口;
  5. 当然,如果您信得过尘缘,可以保留统计代码;
  6. 当然,也可以自己删除接口的统计代码;

最后,感谢大家支持,并预祝所有用户春节快乐!