前二天想用某网站的VIP功能。结果发现对方系统在OSX下的Safari及FIrefox是不能用的。 不过对方告知在WIN平台下的Safari及Firefox却是正常的（怪哉？）。 对方客服告知该问题会提报至下次网站改版时修正。（看来是无解了），并好心告知。 然後事情就开始了... 我还真找了台WIN32机子来试用。结果当然是正常的。 然後回OSX去找问题（太闲？）。发现使用者帐号及密码竟然用明码存在饼乾里。 看不懂？就是你的电脑里他好心帮你做了个文字档，然後里面是你在该网站的 帐号跟密码。而且是直接能开启及看到的。 这实在太了不起了。这比SONY还混啊！人家至少密码会加密而且是放在DB里的。 然後看到了是用ASP开发的，平台是IIS，是否登入采用SESSION，看来都很正常。 最後到WIN32平台看VIP能用的功能是哪些，发现是一些用FLASH写成的AP。 查出路径并记录後回OSX，开了SSH，借用一下别人的主机，然後wget看看.... 原本是要看他除了用SESSION去防堵以外，还用了哪些机制去处理。我连Sniffer 都准备好了。 没想到一wget下去，就全抓回来了....Hmmm 防东防西没防到最基础的。就好像马路接你家大门，然後大门用了N个先进锁头， 结果你家没围墙一样。 这已经不叫防君子不防小人了（我是小人XD）。 好啦，最後我还是能用VIP功能了。反正我本来就有付费有资格用。所以不违法吧。 真的有时候最基本的东西反而没被注意到。那就事倍功零了。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 59.124.142.152