]

Wednesday, August 09, 2006

Xuite 小組真偉大 (懶人包)

長期觀察 Q&A下來,筆者發覺 Xuite 日誌小組應該是所有 BSP 裡面最的一個團隊了吧。

這話怎麼說呢?筆者發現該小組除了薪水高、福利好 (NT$45000~70000/month,參考這裡的價碼)、不用理會客戶權益以及沒有客訴電話騷擾外,用戶完全咬不到它們,就算客戶跑光了也無所謂,真是超級美妙的一件差事。害筆者心也癢癢的想去投遞履歷應徵。

-----
呃,那....標題的偉大到底又是怎麼回事呢?

哇,那就真的「磬竹難書」了。不過筆者還是試著一條一條列看看好了!

  • 隨時會消失的年鑑式 Q&A
    官 方並無設立問題討論區,所有問題的反應與解決都需由台長開設 「X月問題回報處」,再由使用者一則一則在下面發表回應。這是使用者唯一能回報問題的管道與尋找答案的地方,而且沒有搜尋引擎供使用者檢索資訊。當日誌站 長說謊被抓包而腦羞時,這裡會突然消失。使用者一點辦法都沒有。
  • 高興就發出或砍除的公告
    官方發佈公告時常發佈後就射後不理,即使是攸關使用者重大利益的消息也一樣,既不醒目也不在日誌首頁,發了就算有交差(不管是重大的使用者條款修改和故障通告都一樣)。除了偷改文章,又會偷砍引用外,甚至也會偷砍文章(使用者在下面的意見當然就一併消失)。使用者一點辦法都沒有。

  • 不顧客戶權益式的維修
    xuite 非常的不穩定,幾乎只能叫做 beta 版日誌... 不對,跟 Google 的 Beta 相比,Xuite 簡直就是半調子的未完成品。 除了常常無法連線外,一些日誌的重要功能(RSS、CSS、搜尋功能、編輯文章等等...壞掉幾乎就等於無法使用日誌)也常掛點進廠。儘速維修可以理解, 但是直接在上線服務上直接維修 code 就太離譜了。也因此修好了A,B就會因為修A帶來的問題爆掉,無窮無盡的爆炸下去。同時客戶在使用上就會看到一連串不同的錯誤訊息,無所適從。而日誌小組 唯一的回應是,在官方日誌隨便選一角,POST :請使用者不要編修文章;連個修復期限都沒有給。就算有開支票給修復期限,到時候還是跳票居多,而且再也沒有後續消息。使用者一點辦法都沒有。

  • 維修完工遙遙無期
    當 使用者問題發生的時候,要求的是工程師能儘速處理。而日誌小組總會直到數天後大批人潮聚集起來抗議的時候,才悠悠的發了一篇「XX功能故障中,工作人員正 連夜/儘速搶修中。」之後什麼下文都沒有了。什麼時候修好?什麼原因造成?根本沒人知道。而且通常修好的時候都過去幾乎一週甚至數週不等。(搜尋功能大概 進廠了10個月還沒修好)。使用者一點辦法都沒有。

  • 客戶問題隨心情選擇性回覆
    前述提到使用者反映問題的地方只有「X月問題回報處」,而日誌小組回應的地方也是在此處留下回應。不過據筆者觀察,日誌小組幾乎每隔一天或數天以上才綜合回覆一次(不管你的問題多緊急都是一樣);遇到「敏感問題」會自動跳過不回覆、「日誌小組不想解決的問題」不管發幾次都沒有用,自動 Skip。罐頭訊息被拆穿還會湮滅證據。使用者一點辦法都沒有。
  • 雜亂無章的線上教學
    前述幾段,使用者幾乎形同等待日誌小組的憐憫才能解決它們的問題。而且更慘的是,使用者連反抗能力都沒有,因為使用者也無法自救!日誌小組沒有提供FAQ、沒有提供使用者互相分享心得討論的地方。即使是日誌小組與工程師自建的幾則教學,也是散落各地(.....沒有搜尋功能形同無從索引起)。使用者一點辦法都沒有。

  • 到處都是漏洞的安全疑慮
    Xuite 的各項服務是使用 jsp 與 phtml 加上 oracle 後端資料庫組合而成的。光是檢視網頁原始碼就可以發現嚴重的 Web App Vuln(不管是 XSS Attack 或 SQL Injection),而且網頁原始碼還大剌剌的讓程式註解穿插其中,怕人家看不懂程式碼沒辦法 hack一樣。
  • 前述三項還僅是本站發現多則漏洞中的寥寥數項,但僅僅這三項,帶來的安全風 險性就夠高了。XSS Attack 可以讓使用者在不經意中洩漏身份認證用的 cookie,有心人士甚至可以撰寫 XSS worm,讓全站交叉感染,大家的 cookie一起洩漏,國外Myspace.com 就曾發生這樣的事情,可是很快就解決掉這個情況,就連某無名小站解決的效率都比 Xuite 快很多(跟 Xuite 沒解決相比, 當然快很多)。Hinet 有心要把所有的服務通通綁成使用 xuite 帳號來認證,這樣你還敢用嗎?SQL Injection 更棒,database 隨便就會被看光光,個人所有在中華電信的資料完全外洩。JavaScript function 寫註解可以讓外人輕易的瞭解該站功能配置,加上可以 XSS ...隨便一個人就能操弄 Xuite 於鼓掌之中。
    筆者根本沒看過商業的 Service 暴露如此誇張的漏洞,而完全未修復,拿使用者的權益開玩笑。當然,這種問題使用者更是一點辦法都沒有。


諸如此類的偉大事蹟,不勝枚舉。此外,以上任一缺失發生要在其他 BSP 上,客服老早就被幹翻離職了,臭名也會遠播網路界。可惜 Xuite 實在太難用了,使用者幾乎還察覺不到日誌小組的偉大程度,就紛紛跳槽了。

我們只能大大聲說一句:偉哉,Xuite!

0 Comments:

Post a Comment

Subscribe to Post Comments [Atom]

Links to this post:

Create a Link

<< Home