看板 Gossiping作者 smalltwo (獎金獵人)標題 Re: [新聞] 時力再爆人頭黨員 黃捷之妹「被投票」:時間 Wed Aug 26 11:07:23 2020
※ 引述《cirin (Cook)》之銘言:
: 黃捷也有在臉書回應黃捷妹的狀況是
: 狀況是,六月時於網路申請入黨,至今兩個多月未收到入黨成功信件,昨天登入
: 發現網站寫「黨員資格有效期限至2021-06-30」且右上跳出通知寫著「您之前已
: 投票,不能再投第二次」。所以到底有沒有成功入黨?第一次登入為何已經「被
: 投票」?會不會有個資被盜用的疑慮?
: https://0rz.tw/8YBR5
我是時力黨員
我也是個寫程式混飯吃的
我當然也清楚auth token驗證的各種延伸應用
用很硬的說法來講token就是個唯一識別碼
你可以應用在各種需要需要唯一性是別的地方
這件事情我不會說黃捷都錯.
他錯的點在他把自己的無知擴大到整個選舉權力的鬥爭上
單就程式設計師來說我寫程式也十幾年了
最常犯的毛病就是程式設計人員的傲慢
這個傲慢常常會表現在..啊我都寫在信上了他不看怪我摟~~
沒錯,不看信是他的錯.但是在各種資訊爆炸的時代
光是在ptt看文章都會跳著看
看新聞都只看標題..
簽文件都只看要簽哪
為什麼你會期待使用者把你的信一字一句都看清楚
在這種情況下如果還是用"誰叫他不看清楚"來解釋一切
那衝突就會不斷的發生
以這次投票來說
當你把連結發出去的時候
在你強調不要把資訊外流的同時
就應該要想到就是會有人外流
那在外流的情況下顯示"您已完成投票"
這樣的資訊是否真的能清楚的表達意思
如果無法表達..是不是該換種說法
或者根本不要讓使用者知道已完成投票的說明
甚至是流程的改造已經投完票的跳轉回首頁之類的
這是寫程式的人真的要認真去想的事情
這事件絕對不會是第一次.
每個沒有太多面對使用者的程式設計師都會碰到的問題
後記:最後一天了選個半年的決策委員都可以鬧出這麼多事,希望下次能更順利
這世界上所有的對決
最困難的並不是神魔對戰
不是好人對壞人的戰爭
而是兩邊都是神 兩邊都是好人
神與神的對戰要選哪一邊
好人與好人之間的戰鬥要選哪一邊
未開票先猜..黃捷只要落選馬上退黨.
明天就可以驗證
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.51.152.240 (臺灣)
※ 文章代碼(AID): #1VHT7jfs (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1598411245.A.A76.html
→ DavidGuetta …
→ DavidGuetta: [url=https://imgur.com/9k2z3f9]https://i.imgur.com/9k2z3f9.jpg[/url]1F 08/26 11:07
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 11:08:19
→ holioholio: 昌糞:不信仰國昌老師的 通通都是叛徒(咆嘯狀_)3F 08/26 11:08
推 VVizZ: 為什麼不是兩邊都壞人 都是膜呢4F 08/26 11:08
→ Killercat: 其實我看不懂你到底解釋了什麼,什麼都沒解釋啊5F 08/26 11:08
→ abram: 起碼唐鳳不會犯這種開啟別人taken的錯誤7F 08/26 11:08
推 tetani: 有一邊根本就是臥底8F 08/26 11:09
→ ev331: 有沒有賭盤9F 08/26 11:09
→ alwang: token外流是哪邊寫的? 爬文都沒看到10F 08/26 11:09
我投完票了
https://www.newpowerparty.tw/ballots/38455?token=lG40pwx9glL2-SipT0OvAA
這是我的投票連結ˊ
後面那組就是token.
丐幫幫主不是有效黨員根本不會拿到這個連結
他有這個連結token就是有人外流了
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 11:15:55
推 jab: 嗯 專業的傲慢 業界的確很常見11F 08/26 11:10
→ phina005: 其實我覺得這是因為有先入為主的想法才會發生這種事,不然一般情況根本不可能聯想到被投票12F 08/26 11:10
→ ymuit: 喔..樓上們..原po的結論是最後一段 黃捷只要落選馬上退黨14F 08/26 11:10
推 puritylife: 懶人包就是網頁投票沒出錯 但流程可能會讓蠢蛋誤會15F 08/26 11:11
推 abram: 柯p講的好 心裡有疙瘩看什麼都是被投票16F 08/26 11:11
推 mucorn: 我想也是落選馬上退黨17F 08/26 11:11
→ stussy: 有交600元 誰都可以當黨員
這檔要入黨手續超簡單18F 08/26 11:11
噓 eolac: 所以現在在帶風向 是軟體工程師的錯啊?20F 08/26 11:12
推 tetani: 臥底:高雄連日大雨 我想退黨24F 08/26 11:13
→ phina005: 我覺得唯一的問題就是你還沒紙本審核就寫黨員資格期限,不然至少要加備註,這對工程師沒什麼難度25F 08/26 11:13
我是這樣想的拉
黃捷自己在黨內這麼久了應該也拉了不少人入黨
入黨的程序他不會不知道
黨證還有改版過咧..自己姐姐當時力議員這麼久
偏偏選在時力爆發人頭黨員風波時候入黨.有啥目的我就不另外猜了
不過UI上顯示的文字讓人誤解的確是個問題.
→ ao5566: 大家對退黨SOP一條龍劇本越來越上手了呢~~~27F 08/26 11:13
→ fly0204: 不能期待使用者會照你的方式做,一開始就要把錯的路全堵28F 08/26 11:14
→ puritylife: 我也是相關工作 講真的有時真的會忽略一些笨蛋思維29F 08/26 11:14
推 coffee112: 黃X:我她媽想改革 我她媽沒想溝通 我她媽只想背刺你31F 08/26 11:15
推 alwang: 工程師最容易犯的錯: 覺得使用者是普通人33F 08/26 11:17
→ smalltwo: 我覺得廖跟林應該會當選.黃捷不搞這齣我還會分張票給他34F 08/26 11:18
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 11:22:12
推 jeff021044: 我是8/25寄信來三個都投了 這事那時還沒爆出來36F 08/26 11:21
噓 shinkiro: 低調喇,綠共滲透無孔不入哈哈,等預言成功你就能再一篇38F 08/26 11:23
→ medama: 使用者介面和使用者體驗真的是很重要的一環39F 08/26 11:24
推 abram: 樓上正解40F 08/26 11:24
→ william7713: 工程師通常不熟UI啦 都會把user當正常人
但是最後實際上會被user搞出一堆神奇的事42F 08/26 11:30
→ DLN2010: 看到還沒投完,意識到姐妹為什麼要突然大肆爆料,今早新聞台跑馬燈一直跑被投票,這樣看來本打算趁黨員沒時間等查證把票投她?44F 08/26 11:30
→ aaaba: 黃捷怎麼可能落選......50F 08/26 11:42
推 scuxun: 拜託時力黨員撐住,扶國昌愛台灣51F 08/26 11:49
推 yymeow: 我本來想說應該要寫成登入之後同時驗證session_id跟token然後未登入直接點連結應該要提示請先登入52F 08/26 11:49
推 jerrylin: 不對 這世上的問題是 兩邊都壞人的時候你要選哪邊
兩邊都好人那誰贏哪有差 反正都是好人贏啊54F 08/26 11:50
→ yymeow: 是因為要做不記名投票
這的確是個兩難。要做不記名投票就會有連結外流的風險57F 08/26 11:50
→ smalltwo: 嚴格說起來這不叫不記名投票.因為token本身還是可以對回本人..會有一個對應檔59F 08/26 11:51
→ yymeow: 那的確如同原po所說,唯一能做的小小補強就是在跳出的訊息說明 你已經投過票 or 你的連結已被投過
回原po: 我不確定tonyq有沒有寫一對一對應,若要做到真不61F 08/26 11:52
→ smalltwo: 會設計成這樣就只有一個原因.沒有找人電腦白癡加入討論64F 08/26 11:54
→ yymeow: 記名,則必須把token做成一個可以驗證運算的字串,就像
微軟的註冊碼一樣。當然了,這樣有另一個風險就是驗證運算65F 08/26 11:54
→ yymeow: 方式絕對不可外流,不然就會被大量產生驗證碼人頭投票68F 08/26 11:55
→ smalltwo: 這投票是可以直接登入投票的.所以我才斷定是可以對應69F 08/26 11:56
→ yymeow: 我看到了,若如同原po貼圖的mail內容,token連結操作是有辦法推斷黨員有否投過票的,那的確是有做一對一對應
若如此,那同時驗證token與session_id會是一個比較好的
方式70F 08/26 11:57
推 Panasonic: 要檢討也是開規格的sa沒考慮到,這本就不容易74F 08/26 11:59
→ yymeow: 對啊這無可厚非,只能說系統寫出來必須要考量就是會有很神奇的使用者會用意想不到的方式(點別人連結)來操作75F 08/26 12:00
推 ImBBCALL: 應該是不知道出了錯會直接po文77F 08/26 12:01
→ smalltwo: 所以我說才需要去想一件事情到底應不應該讓使用者知道明確的訊息.有時候把解釋狀態的工作交給客服不是壞事78F 08/26 12:02
→ william7713: 這本來就要先寫 你不寫 等一下也是被攻擊說你沒先講有寫才有卸責的地方80F 08/26 12:03
→ smalltwo: Panasonic我是以回應的說明來理解的.在tonyq的回應裡面解釋說都寫在信裡了是你沒看清楚..就如同william7713說的.所謂的已經有寫明就常常只是為了規避法律責任罷了
就好像基金投資有賺有賠申購前請詳閱公開說明書一樣
就是個規避責任的幹話而已.但是你如果希望事情能做好82F 08/26 12:03
→ littlepogi: 見獵心喜阿 "有人幫她投票"就是多的武器(真假不重要)87F 08/26 12:06
→ smalltwo: 要做的事情絕對不僅僅是貼規避責任的幹話88F 08/26 12:06
推 rwhung: 我覺得設計的讓"蠢蛋"誤會或不會用,那設計師也不怎麼高明高明的設計師,除了做出東西來,另外要做的就是"防呆"啊90F 08/26 12:10
推 k1400: 防呆不防蠢啦!誰會知道你有多蠢?92F 08/26 12:14
推 rwhung: 點別人的連結,這種事其實常發生…工程師沒想到也是很意外94F 08/26 12:15
→ rwhung: 我是不覺得這投票有在"防呆"…96F 08/26 12:16
→ rwhung: 網站設計不是也有"防呆"的SOP嗎?98F 08/26 12:17
→ smalltwo: 我是不信整個設計都沒跟人討論過顯示的風格
這不是花多少錢的問題..而是討論的時候有沒有盲點的問題99F 08/26 12:25
→ ChenXY …
噓 ChenXY: 她描述遇到的狀況 目前問題就在人工審核那段 別想模糊焦點101F 08/26 12:27
→ lwid: 他被當作人頭黨員很瞎沒錯.不過這部分不是已經送檢調了嗎?所以被卡住審核部過應該是要問檢調單位查得如何吧?畢竟現在入黨直接去黨部親自辦理還是可以的啊!102F 08/26 12:30
推 potter1529: web parameter tampering 我快笑死 傲慢個屁啊
這個是菜雞等級的低能錯誤 跟你把帳號密碼放URL有啥差直接肉眼就看得到的安全問題 時力的網站設計太破了吧這類問題十幾年前就在宣導不要幹了
你們大概是把跟帳號做對應的唯一一組token放在URL寄信給黨員 然後網站連回來有該token的就視為本人
幹嘛不做導向讓點選的人要登入驗證啊 超低能的耶105F 08/26 12:33
閣下應該沒有做過任何的驗證系統吧
所有的email驗證系統都是這樣幹的
不管是帳密綁定、密碼變更、驗證、身分確認都是
頂多再多一個簡單的確認像是放個生日之類的
然後把這組token在加上一個時限機制
網路時代以email來當作個人身份的驗證並沒有什麼問題
就如同你的手機驗證碼一樣
相對應的防呆防外洩已經做了最基本的處理
在信件本身顯示的也是一個超連結而不是完整網址
就是怕網路白癡直接複製外洩給別人
懂得這層防範的人當然可以取得相關資訊
至於說登入驗證也是有阿我前面不就有說可以登入投票
我就說了打一篇文章出來就會有一堆人漏看一堆訊息了
到底是要多期待使用者能每一行每一個字都看清楚
一個驗證機制到底要做的多完善?
要不要每個黨員直接發一個實體金鑰USB投票登入必須插入USB驗證阿
推 IELTS: 推112F 08/26 12:39
噓 viviya: 兩邊都是好人???????115F 08/26 12:46
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 13:08:19
推 fenway18: 最困難的是 兩邊都是壞人117F 08/26 13:03
兩邊都是壞人一點也不難^^
不選最大~~兩邊都壞我幹嘛去選
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 13:09:01
噓 t13thbc: 我搞不太懂耶 怎麼你的口氣好像很希望黃捷退黨?
我以為你們時力黨員應該要努力留住任何一個黨員118F 08/26 13:22
我也不懂.一個黨代表 一個地方議員 有事情要直接公審到底是在做啥
結果真的是自己誤會了也換不到任何得道歉
這些個人弄錯事情到底誰道歉過了
沒有人活該要被打
沒有人活該要因為她的誤會而被出征
我也說了今天不搞這齣我的票就還是投給他
我希望黨內有不一樣的聲音不管是制衡還是讓黨內的盲點減少
但是他這次搞得這事...謝謝滾一邊去
我投給了另外兩位 林 廖
但是就是不投他
→ lo0945: 講直白點就是 我沒看信 誰叫你們讓人誤會 都是they的錯120F 08/26 13:28
※ 編輯: smalltwo (123.51.152.240 臺灣), 08/26/2020 13:54:58
推 scratch01: 說難聽點我覺得你想太多了,黃捷會前幾高票當選121F 08/26 13:57
→ yah13305: 一個黨搞成這麽難看 而且都自己人殺自己人
這步天地 支持者應該很無言以對了122F 08/26 13:57
推 p2p8ppp: 這篇正解 但人家都出來說明還裝無視 其心可議124F 08/26 14:09
推 auxiliary11: 重點是連這種低端的事情都能搞錯 到底是腦袋不靈光還是另有謀劃127F 08/26 16:31
推 chyou2003: 應該是本來以為找到理由趕快發文,但卻是烏龍
現在黃應該進退兩難,哈哈129F 08/26 17:24
推 goldhan: 推,有程式經驗的人最後都會發現使用者永遠不會照你預想的流程來操作系統,所以最後一定要記得費心力在防呆上面,說明也絕對要簡單明瞭131F 08/26 17:37
推 somouse: 早期的黨證是自行列印護貝的,慢慢會進步134F 08/26 17:46
→ jojomaan: 存心要做壞事的人 不管系統設計得多完備,他仍舊找得出漏洞,這就是為什麼人的信用很重要135F 08/26 18:25
推 cdn: 非單指時代,我覺得兩邊都壞這件事就是接下來各種選舉的困境139F 08/26 23:27
推 a34567: 先知O_O140F 08/27 03:38
--