贤者安全看到我的妻子整晚都在Facebook上度过了大部分时间,抱怨自己被未出生的第二个女儿从里面踢了,我以为我’d晚上在网上搜寻Sages新的网上产品– 贤者活。一世’ve已经试用过该功能并报告了 我的想法 在那。这次,我对事物的技术和安全性感兴趣。

几年前,向中小企业销售基于Web的软件是 。每个人都关心安全性。多年来,它’我们SaaS提供商似乎知道我们’re doing. We’赢得了很多信任。

贤者似乎意识到安全很重要。他们有几页关于安全性的页面,都说了正确的话。但是实际上,它们在最基本的安全措施上都失败了。那里’没有必要在服务器上使用Rackspace并大喊最终用户密码是否为高安全性。’受保护。毕竟’进入Sage Live帐户所需的一切。

默认为“Remember me”
贤者活主页上的默认选项是记住您的用户名和密码。如果愿意,可以取消选中它,但是您’每次登录时都必须记住取消勾选它。否则,某人需要做的就是启动计算机,输入URL并单击“登录”按钮。您的密码已经在那里!

密码以明文显示
我真的不得不努力阻止自己在该子标题中添加3个感叹号。几乎令人难以置信的是,它们会在您登录时在屏幕上显示您的密码– in plain text.

It’已发送到他们的中心“passport”使用GET而不是POST服务–因此您的密码实际上是在状态栏中显示的所请求的URL中。请在下面的屏幕抓取中看到带圆圈的红色区域。 (点击放大)

密码2

确保登录时没有人看着您的屏幕。

过时的技术
在网站上花点钱可以看出,整个过程都是由称为BEA Aqualogic的产品提供支持的。去年4月,甲骨文(Oracle)收购了BEA和BEA Aqualogic系列产品 已停产。因此,在该产品甚至尚未进入公开测试版之前,基本技术就已经过时了。这就是纯粹的SaaS公司从头开始开发自己的产品的原因。

[编辑:糟糕,事实错误。正如下面的读者所指出的;上面的链接没有’t实际上说此产品已停产]

等待美联储!
I’m允许我自己为此子标题添加惊叹号。在站点周围进行了一些测试,我发现自己正在浏览这两页(点击放大)

屏幕截图1 屏幕截图2

我知道其中之一说我只有只读权限。但是,这些无疑是只有授权人员才能看到的页面。

It’至此,我意识到,如果再往前走,那么我可能会违反有关未经授权访问远程计算机系统的各种法律。我开始担心联邦调查局会在任何时候敲门(开玩笑而已)–一些Sage服务器在美国),并决定我’d最好别管它。

他们网站上的安全说明说,他们拥有某种应该将我拒之门外的入侵检测系统。我认为可能有人忘记将电池放进去了。

结论
我自己和其他SaaS会计师事务所的主管一直在等待Sage在SaaS市场中发挥作用。他们这样做的时候我们很高兴。甚至他们的产品是裤子的事实也没有’没关系。通过参与SaaS,Sage为整个概念增加了信誉。

现在我’m wondering if we’我都短视了。备受瞩目的安全问题可能会使我们倒退数年。从外观上看,Sage比任何合适的SaaS播放器都更容易遇到安全问题。那讲得通。互联网编程与针对台式机编程完全不同。 智者毫无疑问拥有多年构建强大的桌面应用程序的经验,但是他们在构建Web方面有多少经验呢?

更新: 智者 took 贤者活offline 1月28日’由于这些安全问题,导致09。

See how 卡什流works with your business and your books