顯示廣告
隱藏 ✕
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-08-27 13:36:51
看板 Gossiping
作者 smalltwo (獎金獵人)
標題 Re: [新聞] 時力再爆人頭黨員 黃捷之妹「被投票」:
時間 Wed Aug 26 11:07:23 2020


※ 引述《cirin (Cook)》之銘言:
: 黃捷也有在臉書回應黃捷妹的狀況是
: 狀況是,六月時於網路申請入黨,至今兩個多月未收到入黨成功信件,昨天登入
: 發現網站寫「黨員資格有效期限至2021-06-30」且右上跳出通知寫著「您之前已
: 投票,不能再投第二次」。所以到底有沒有成功入黨?第一次登入為何已經「被
: 投票」?會不會有個資被盜用的疑慮?
: https://0rz.tw/8YBR5
我是時力黨員
我也是個寫程式混飯吃的
我當然也清楚auth token驗證的各種延伸應用
用很硬的說法來講token就是個唯一識別碼
你可以應用在各種需要需要唯一性是別的地方
這件事情我不會說黃捷都錯.
他錯的點在他把自己的無知擴大到整個選舉權力的鬥爭上

單就程式設計師來說我寫程式也十幾年了
最常犯的毛病就是程式設計人員的傲慢
這個傲慢常常會表現在..啊我都寫在信上了他不看怪我摟~~
沒錯,不看信是他的錯.但是在各種資訊爆炸的時代
光是在ptt看文章都會跳著看
看新聞都只看標題..
簽文件都只看要簽哪
為什麼你會期待使用者把你的信一字一句都看清楚
在這種情況下如果還是用"誰叫他不看清楚"來解釋一切
那衝突就會不斷的發生
以這次投票來說
當你把連結發出去的時候
在你強調不要把資訊外流的同時
就應該要想到就是會有人外流
那在外流的情況下顯示"您已完成投票"
這樣的資訊是否真的能清楚的表達意思
如果無法表達..是不是該換種說法
或者根本不要讓使用者知道已完成投票的說明
甚至是流程的改造已經投完票的跳轉回首頁之類的
這是寫程式的人真的要認真去想的事情
這事件絕對不會是第一次.
每個沒有太多面對使用者的程式設計師都會碰到的問題

後記:最後一天了選個半年的決策委員都可以鬧出這麼多事,希望下次能更順利
這世界上所有的對決
最困難的並不是神魔對戰
不是好人對壞人的戰爭
而是兩邊都是神 兩邊都是好人
神與神的對戰要選哪一邊
好人與好人之間的戰鬥要選哪一邊


未開票先猜..黃捷只要落選馬上退黨.
明天就可以驗證

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.51.152.240 (臺灣)
※ 文章代碼(AID): #1VHT7jfs (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1598411245.A.A76.html
DavidGuetta 
DavidGuetta: [url=https://imgur.com/9k2z3f9]https://i.imgur.com/9k2z3f9.jpg[/url]1F 08/26 11:07
DOOHDLIHC: 真的假的你時力黨員2F 08/26 11:08
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 11:08:19
holioholio: 昌糞:不信仰國昌老師的 通通都是叛徒(咆嘯狀_)3F 08/26 11:08
VVizZ: 為什麼不是兩邊都壞人 都是膜呢4F 08/26 11:08
Killercat: 其實我看不懂你到底解釋了什麼,什麼都沒解釋啊5F 08/26 11:08
tigertiger: 請附上黨證人權6F 08/26 11:08
abram: 起碼唐鳳不會犯這種開啟別人taken的錯誤7F 08/26 11:08
tetani: 有一邊根本就是臥底8F 08/26 11:09
ev331: 有沒有賭盤9F 08/26 11:09
alwang: token外流是哪邊寫的?  爬文都沒看到10F 08/26 11:09
我投完票了
https://www.newpowerparty.tw/ballots/38455?token=lG40pwx9glL2-SipT0OvAA
這是我的投票連結ˊ
後面那組就是token.
丐幫幫主不是有效黨員根本不會拿到這個連結
他有這個連結token就是有人外流了
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 11:15:55
jab: 嗯 專業的傲慢 業界的確很常見11F 08/26 11:10
phina005: 其實我覺得這是因為有先入為主的想法才會發生這種事,12F 08/26 11:10
phina005: 不然一般情況根本不可能聯想到被投票
ymuit: 喔..樓上們..原po的結論是最後一段 黃捷只要落選馬上退黨14F 08/26 11:10
puritylife: 懶人包就是網頁投票沒出錯  但流程可能會讓蠢蛋誤會15F 08/26 11:11
abram: 柯p講的好 心裡有疙瘩看什麼都是被投票16F 08/26 11:11
mucorn: 我想也是落選馬上退黨17F 08/26 11:11
stussy: 有交600元 誰都可以當黨員18F 08/26 11:11
stussy: 這檔要入黨手續超簡單
eolac: 所以現在在帶風向 是軟體工程師的錯啊?20F 08/26 11:12
pomelolawod: 找到理由退黨了是吧21F 08/26 11:12
puritylife: 沒帶風向吧 就只是在解釋寫程式的人的想法22F 08/26 11:12
magamanzero: 沒錯 但這次另一邊可不是什麼好人 XDDDD23F 08/26 11:13
tetani: 臥底:高雄連日大雨 我想退黨24F 08/26 11:13
phina005: 我覺得唯一的問題就是你還沒紙本審核就寫黨員資格期限25F 08/26 11:13
phina005: ,不然至少要加備註,這對工程師沒什麼難度
我是這樣想的拉
黃捷自己在黨內這麼久了應該也拉了不少人入黨
入黨的程序他不會不知道
黨證還有改版過咧..自己姐姐當時力議員這麼久
偏偏選在時力爆發人頭黨員風波時候入黨.有啥目的我就不另外猜了

不過UI上顯示的文字讓人誤解的確是個問題.

ao5566: 大家對退黨SOP一條龍劇本越來越上手了呢~~~27F 08/26 11:13
fly0204: 不能期待使用者會照你的方式做,一開始就要把錯的路全堵28F 08/26 11:14
puritylife: 我也是相關工作 講真的有時真的會忽略一些笨蛋思維29F 08/26 11:14
fly0204: 上才是正途30F 08/26 11:14
coffee112: 黃X:我她媽想改革 我她媽沒想溝通 我她媽只想背刺你31F 08/26 11:15
jeff021044: 他退感覺廖跟林會跟著退32F 08/26 11:16
alwang: 工程師最容易犯的錯: 覺得使用者是普通人33F 08/26 11:17
smalltwo: 我覺得廖跟林應該會當選.黃捷不搞這齣我還會分張票給他34F 08/26 11:18
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 11:22:12
magamanzero: 我是覺得黃想走人就給他走吧 道不同不相為謀35F 08/26 11:21
jeff021044: 我是8/25寄信來三個都投了 這事那時還沒爆出來36F 08/26 11:21
BlowjobFace: 他媽一堆User是智障37F 08/26 11:22
shinkiro: 低調喇,綠共滲透無孔不入哈哈,等預言成功你就能再一篇38F 08/26 11:23
medama: 使用者介面和使用者體驗真的是很重要的一環39F 08/26 11:24
abram: 樓上正解40F 08/26 11:24
py602270421: 黃想變白不要阻止拉41F 08/26 11:26
william7713: 工程師通常不熟UI啦 都會把user當正常人42F 08/26 11:30
william7713: 但是最後實際上會被user搞出一堆神奇的事
DLN2010: 看到還沒投完,意識到姐妹為什麼要突然大肆爆料,今早新44F 08/26 11:30
DLN2010: 聞台跑馬燈一直跑被投票,這樣看來本打算趁黨員沒時間等
DLN2010: 查證把票投她?
cerberi: 推47F 08/26 11:33
puritylife: 原來是催票的概念阿 還是騙票?48F 08/26 11:37
simba08130: 劇本沒錯49F 08/26 11:41
aaaba: 黃捷怎麼可能落選......50F 08/26 11:42
scuxun: 拜託時力黨員撐住,扶國昌愛台灣51F 08/26 11:49
yymeow: 我本來想說應該要寫成登入之後同時驗證session_id跟token52F 08/26 11:49
yymeow: 然後未登入直接點連結應該要提示請先登入
jerrylin: 不對  這世上的問題是  兩邊都壞人的時候你要選哪邊54F 08/26 11:50
jerrylin: 兩邊都好人那誰贏哪有差  反正都是好人贏啊
yymeow: 但是在本板 #1VHPW_8e 有網友推文說只認token而不需要登入56F 08/26 11:50
Re: [新聞] 時力再爆人頭黨員 黃捷之妹「被投票」: - 看板 Gossiping - 批踢踢實業坊
我覺得任何人都可以拿到網址 點進去看有點不OK 投票完成的頁面應該是要登入之後才能看到的 如果要看到這個頁面 應該要先登入
yymeow: 是因為要做不記名投票57F 08/26 11:50
yymeow: 這的確是個兩難。要做不記名投票就會有連結外流的風險
smalltwo: 嚴格說起來這不叫不記名投票.因為token本身還是可以對回59F 08/26 11:51
smalltwo: 本人..會有一個對應檔
yymeow: 那的確如同原po所說,唯一能做的小小補強就是在跳出的訊息61F 08/26 11:52
yymeow: 說明 你已經投過票 or 你的連結已被投過
yymeow: 回原po: 我不確定tonyq有沒有寫一對一對應,若要做到真不
smalltwo: 會設計成這樣就只有一個原因.沒有找人電腦白癡加入討論64F 08/26 11:54
yymeow: 記名,則必須把token做成一個可以驗證運算的字串,就像65F 08/26 11:54
yymeow: 微軟的註冊碼一樣。當然了,這樣有另一個風險就是驗證運算
[圖]
yymeow: 方式絕對不可外流,不然就會被大量產生驗證碼人頭投票68F 08/26 11:55
smalltwo: 這投票是可以直接登入投票的.所以我才斷定是可以對應69F 08/26 11:56
yymeow: 我看到了,若如同原po貼圖的mail內容,token連結操作是有70F 08/26 11:57
yymeow: 辦法推斷黨員有否投過票的,那的確是有做一對一對應
yymeow: 若如此,那同時驗證token與session_id會是一個比較好的
yymeow: 方式
Panasonic: 要檢討也是開規格的sa沒考慮到,這本就不容易74F 08/26 11:59
yymeow: 對啊這無可厚非,只能說系統寫出來必須要考量就是會有很75F 08/26 12:00
yymeow: 神奇的使用者會用意想不到的方式(點別人連結)來操作
ImBBCALL: 應該是不知道出了錯會直接po文77F 08/26 12:01
smalltwo: 所以我說才需要去想一件事情到底應不應該讓使用者知道78F 08/26 12:02
smalltwo: 明確的訊息.有時候把解釋狀態的工作交給客服不是壞事
william7713: 這本來就要先寫 你不寫 等一下也是被攻擊說你沒先講80F 08/26 12:03
william7713: 有寫才有卸責的地方
smalltwo: Panasonic我是以回應的說明來理解的.在tonyq的回應裡面82F 08/26 12:03
smalltwo: 解釋說都寫在信裡了是你沒看清楚..就如同william7713說
smalltwo: 的.所謂的已經有寫明就常常只是為了規避法律責任罷了
smalltwo: 就好像基金投資有賺有賠申購前請詳閱公開說明書一樣
smalltwo: 就是個規避責任的幹話而已.但是你如果希望事情能做好
littlepogi: 見獵心喜阿 "有人幫她投票"就是多的武器(真假不重要)87F 08/26 12:06
smalltwo: 要做的事情絕對不僅僅是貼規避責任的幹話88F 08/26 12:06
william7713: 已經沒用啦 黃捷聽不下去解釋89F 08/26 12:08
rwhung: 我覺得設計的讓"蠢蛋"誤會或不會用,那設計師也不怎麼高明90F 08/26 12:10
rwhung: 高明的設計師,除了做出東西來,另外要做的就是"防呆"啊
k1400: 防呆不防蠢啦!誰會知道你有多蠢?92F 08/26 12:14
william7713: 這只是一個小黨的選舉 你是要花多少錢去開發93F 08/26 12:15
rwhung: 點別人的連結,這種事其實常發生…工程師沒想到也是很意外94F 08/26 12:15
william7713: 在強的code都會有bug啦95F 08/26 12:16
rwhung: 我是不覺得這投票有在"防呆"…96F 08/26 12:16
william7713: 信件內容有提醒啦 自己不看97F 08/26 12:17
rwhung: 網站設計不是也有"防呆"的SOP嗎?98F 08/26 12:17
smalltwo: 我是不信整個設計都沒跟人討論過顯示的風格99F 08/26 12:25
smalltwo: 這不是花多少錢的問題..而是討論的時候有沒有盲點的問題
ChenXY 
ChenXY: 她描述遇到的狀況 目前問題就在人工審核那段 別想模糊焦點101F 08/26 12:27
lwid: 他被當作人頭黨員很瞎沒錯.不過這部分不是已經送檢調了嗎?102F 08/26 12:30
lwid: 所以被卡住審核部過應該是要問檢調單位查得如何吧?畢竟現在
lwid: 入黨直接去黨部親自辦理還是可以的啊!
potter1529: web parameter tampering 我快笑死 傲慢個屁啊105F 08/26 12:33
potter1529: 這個是菜雞等級的低能錯誤 跟你把帳號密碼放URL有啥差
potter1529: 直接肉眼就看得到的安全問題 時力的網站設計太破了吧
potter1529: 這類問題十幾年前就在宣導不要幹了
potter1529: 你們大概是把跟帳號做對應的唯一一組token放在URL寄信
potter1529: 給黨員 然後網站連回來有該token的就視為本人
potter1529: 幹嘛不做導向讓點選的人要登入驗證啊 超低能的耶
閣下應該沒有做過任何的驗證系統吧
所有的email驗證系統都是這樣幹的
不管是帳密綁定、密碼變更、驗證、身分確認都是
頂多再多一個簡單的確認像是放個生日之類的
然後把這組token在加上一個時限機制
網路時代以email來當作個人身份的驗證並沒有什麼問題
就如同你的手機驗證碼一樣
相對應的防呆防外洩已經做了最基本的處理
在信件本身顯示的也是一個超連結而不是完整網址
就是怕網路白癡直接複製外洩給別人
懂得這層防範的人當然可以取得相關資訊

至於說登入驗證也是有阿我前面不就有說可以登入投票
我就說了打一篇文章出來就會有一堆人漏看一堆訊息了
到底是要多期待使用者能每一行每一個字都看清楚

一個驗證機制到底要做的多完善?
要不要每個黨員直接發一個實體金鑰USB投票登入必須插入USB驗證阿

IELTS: 推112F 08/26 12:39
b7278622: 推最後一句113F 08/26 12:40
allymakeup: 推114F 08/26 12:46
viviya: 兩邊都是好人???????115F 08/26 12:46
B9702115: 所以內鬼還在116F 08/26 12:47
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 13:08:19
fenway18: 最困難的是 兩邊都是壞人117F 08/26 13:03
兩邊都是壞人一點也不難^^
不選最大~~兩邊都壞我幹嘛去選
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 13:09:01
t13thbc: 我搞不太懂耶 怎麼你的口氣好像很希望黃捷退黨?118F 08/26 13:22
t13thbc: 我以為你們時力黨員應該要努力留住任何一個黨員
我也不懂.一個黨代表 一個地方議員 有事情要直接公審到底是在做啥
結果真的是自己誤會了也換不到任何得道歉
這些個人弄錯事情到底誰道歉過了
沒有人活該要被打
沒有人活該要因為她的誤會而被出征
我也說了今天不搞這齣我的票就還是投給他
我希望黨內有不一樣的聲音不管是制衡還是讓黨內的盲點減少
但是他這次搞得這事...謝謝滾一邊去
我投給了另外兩位 林 廖
但是就是不投他
lo0945: 講直白點就是 我沒看信 誰叫你們讓人誤會 都是they的錯120F 08/26 13:28
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 13:54:58
scratch01: 說難聽點我覺得你想太多了,黃捷會前幾高票當選121F 08/26 13:57
yah13305: 一個黨搞成這麽難看 而且都自己人殺自己人122F 08/26 13:57
yah13305: 這步天地 支持者應該很無言以對了
p2p8ppp: 這篇正解  但人家都出來說明還裝無視  其心可議124F 08/26 14:09
eterbless: 這篇正解 所以年初根本懶得投票125F 08/26 14:49
Shinpachi: 論uiux的重要性126F 08/26 16:01
auxiliary11: 重點是連這種低端的事情都能搞錯   到底是腦袋不靈光127F 08/26 16:31
auxiliary11: 還是另有謀劃
chyou2003: 應該是本來以為找到理由趕快發文,但卻是烏龍129F 08/26 17:24
chyou2003: 現在黃應該進退兩難,哈哈
goldhan: 推,有程式經驗的人最後都會發現使用者永遠不會照你預想131F 08/26 17:37
goldhan: 的流程來操作系統,所以最後一定要記得費心力在防呆上面
goldhan: ,說明也絕對要簡單明瞭
somouse: 早期的黨證是自行列印護貝的,慢慢會進步134F 08/26 17:46
jojomaan: 存心要做壞事的人 不管系統設計得多完備,他仍舊找得出135F 08/26 18:25
jojomaan: 漏洞,這就是為什麼人的信用很重要
kkman1123: 靠杯先知欸137F 08/26 23:14
ScarYao: 先知138F 08/26 23:24
cdn: 非單指時代,我覺得兩邊都壞這件事就是接下來各種選舉的困境139F 08/26 23:27
a34567: 先知O_O140F 08/27 03:38

--
※ 看板: FW 文章推薦值: 0 目前人氣: 0 累積人氣: 34 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇