首页 下载中心 支持与服务 云服务 HC服务 问答专区 练习专区 最新动态 常见问题s 合作 关于我们
2010
06/25
16:01

用友产品揭秘—恐怖的OA:只给最勇敢的人

2010-06-25 16:01:40 来源:软件服务社

下面给大家说一下用友致远(现改名为致远协创)的协同办公系统(OA)。它号称中国OA软件市场占有率第一,技术和理念上也号称极其先进,在产品宣传上几乎把地球上能用上的唬人的名词全用上了,下面是他们的宣传材料中经常用到的说法:

高安全性:CA技术、数据通道加密、多角度5层安全防护……

标准接口和统一文档管理:遵循国际标准的开发规范、集成的统一文档管理……

J2EESOA……

相信绝大多数用户看了之后,无不为其技术的高超、华丽而晕得倾倒,钦佩之情顿时如长江加黄河之水滔滔不绝。

但是,如果我说他们的产品不但不高超,连一般都算不上,应当说漏洞百出、问题惊人,可能大家不敢相信。那么,下面我们先用一个七分钟的录像演示其中的一个问题:使用致远OA产品的企业,其公司内部的任何一个普通员工,都可以随便查看全公司的所有机密,包括总经理等所有高管的工作内容。大家可以看一下这个操作演示(点击播放),这是用他们用户最多也最重要的A6产品、在他们自己提供的公共演示系统上录制的(用的是2010年1月初当时最新的2.82版)。

大家看过后,可能心里已经感觉到非常可怕。的确,它能导致的后果只会比你想象的更可怕,而且确实已经发生过很多问题,只不过很多人(包括用友致远)都不知道原因。

这是由于在程序设计上没有最基本的规范和常识才出现的问题,实际上,不用说设计人员,即使只是懂点技术的用户都能看得出来。这个问题最早是2006年我们IT部一个修理电脑的硬件维护人员看到的,他感觉这个ID号太规则了,一看就没加密过,试了一下,果然有问题(当时我们只能要求先把嘴闭严)。后来到2008年,我们自行开发的OA顺利切换了用友致远的A6,所以就不太关注用友致远的产品和这个问题了(我们开发时只是为了让我们的员工操作习惯不变,所以功能和界面与他们的产品类似,但代码和系统架构完全是重做的,所以根本没有这样的问题)。2009年底,我们一个工程师与他以前的同事在聊天时了解到,他那个同事的单位用的就是用友致远的OA(还是比较新的2.76版)。就远程连过去看了一眼,发现那些问题居然还在,就和他那个同事随便提了一下,结果把他那个同事吓了一跳,说前一段时间他们公司有个参加投标的很大的项目的资料不知怎么被对手拿到了,结果本来很有希望的项目丢了,公司查了好几个月,也没找到原因,现在一想,很可能是这方面有问题。实际上,用友的很多用户就是做技术行业的,有很多懂软件知识的员工可能早就发现了这类问题。至于有多少企业因此而丢失了商业机密就不好说了。

2009年底各大网站报道了我们被用友勒索的“绑架门”事件,在我们网站和博客中的“新画皮故事:ERP软件为什么要免费”这篇文章里,都明确提到了他们产品存在的“安全性问题”。用友致远也看到过这些文章,但是他们可能只想着去公关、删帖子了,根本没关注这些技术方面的事情。但是我们也不能讲太多,因为如果再说得更细,他们的用户会遭殃的:很可能有人用这个方法得到公司的任何信息。我们虽然痛恨用友,但是不想损害他们的用户,因为我们原来也是这个用户群中的一员。

后来有些朋友在与我们联系时,谈到免费ERP软件是不是可能没有收费软件做得好?我们说:软件好不好,只与开发设计人员的能力、责任心和企业的管理水平有关,与是否收费、是否大品牌没有任何关系。但是大部分普通用户无法直观地了解这一点。所以20101月上旬,我们做了这个录像,这样,即使是普通用户,看一下也能明白这个价格很高、号称第一的用友致远OA做得怎么样。我们原来想在发布这个录像之前,先找媒体发个稿,要求用友致远解决这些存在了那么多年的问题、并给用户免费升级,然后我们再发布这个录像,以免影响用户。但是最后没有哪个媒体敢发,据说因为以前有个记者写了篇关于某公司技术漏洞的文章,被那个公司告了,被判不能再从事记者工作,另一个原因是那段时间他们因为“绑架门”而对主要媒体做了相当大力度的公关。所以我们只是把这个录像放在我们网站上一个不起眼的目录中,让有的媒体记者看了看,但却没能发出任何消息(所以想揭露一些东西,真的是很难)。后来我们一想,即使发出了稿子,他们也会立刻找关系、花钱删掉,而且这时我们正开始忙于产品开发,所以也就不想这事了。

但是,今年三月出现了更大的事情,不过这次不是他们的用户,而是用友致远曝出了震惊全国的“行贿门”事件。当时用友发布的声明居然说是黑客入侵、篡改数据,据说发帖者立刻进行了回应,说明是因为内部办公用的系统中根本没什么安全可言(只可惜这个发帖者太不了解用友的公关删帖能力如此之强,以至于帖子发出后很快就消失了)。这时用友致远才知道有这些安全性问题。所以,用友致远得好好感谢这个发帖者,帮他们指出了存在这么多年的大漏洞,关键是没把资料交给公安检察机关,否则如果服务器突然被扣而没有时间删除服务器中的记录,那就惨了。不过,用友和致远也得注意:如果对公众或媒体说什么“黑客”之类的,也就算了,但是如果对公安检查机关乱说,是要负法律责任的。

前些天有个做软件代理的朋友在联系与我们合作时,说起很多企业迷信用友的品牌,我们觉得很可笑,但一想用户确实无法真正了解这种ERP产品,所以现在就把这个录像给大家看看,这样至少可以让那些迷信用友、却不知怎么丢失了商业机密的企业凭自己的眼睛看一下,用友的技术水平和产品质量到底怎么样(我们想,“行贿门”事件到现在有好几个月了,用友致远应当已经把这个问题改好并给用户更新完了,现在这个录像应当不会再影响他们的用户了)。

顺便提一句,我们在录像中只是演示了“协同”中的问题,因为OA90%以上的工作都是在收发和处理“协同”。但问题远不止这些。比如,在他们的政务版(即给政府机关提供的版本)中,有所谓的“公文”功能,实际上与“协同”功能是完全一样的,只不过换个名字收钱而已。这些功能也存在着同样的问题,所以用了他们软件的政府机关千万要注意检查一下,不但公务信息要注意保密,个人信息也不要出现类似广西某市烟草局局长“日记门”的轰动事件。

我们不知道用友集团是否在使用这个OA产品。如果在使用的话,一个号称技术领先、员工上万、亚太市场占用率No.1而且专业做ERP软件的企业,这么明显的问题居然这么多年无人看到,也不会解决,真是天下奇观;如果用友集团不用这个OA产品,那也很奇怪,自己的产品为什么自己都不用呢?

今年,用友集团还把这个OA产品打包到他们隆重发布的All In One”中,而且宣传力度非常之大,看得我们哭笑不得。现在把这事说一说,作为笑话与大家分享。

我们刚发现这些问题时也感到难以置信,怎么都不能相信一个外表宣传得如此强大的技术企业居然是这样。但是后来又看了用友的其它产品,发现个个很烂之后,才明白这不是偶然:一个技术企业,却把精力都放在了所谓品牌宣传、公关、勒索用户、行贿、删帖、搞水军上,怎么还可能会专注于辛苦的研发?所以,用户真正需要的东西——产品——做成这样就不奇怪了。我相信这个企业会有一些很好的技术人员,但如果企业管理层的精力都放在这些污七八糟的事上,技术人员也无能为力啊。

这种设计上的问题,我们只是举了个例子。实际上,这种低级而巨大的安全问题在他们的软件中绝不只这些。也许有人会说,这可能只是个偶然。那好,如果用友致远敢说这是偶然、敢说现在把问题都改完了,那就开个记者会,提前一天通知我们就行,我们再当众给大家演示几个,看看这种档次的问题有多少。

所以,要使用这样恐怖的产品,不仅需要钱,更需要有非凡的胆量。建议他们把广告词换为“致远协同,只给最勇敢的人”。

 

【上一篇】: 用友产品—用友的财务软件:皇帝的新装 【下一篇】: 用友产品揭秘:金玉其外,败絮其中
【上一篇】: 用友产品—用友的财务软件:皇帝的新装
【下一篇】: 用友产品揭秘:金玉其外,败絮其中