Archive for 2009/07

鼎新Cosmos WorkFlow伺服器端的大漏洞

話說Microsoft Windows是全世界最不安全的作業系統之一,但是我認為它是非戰之罪啊,坦白說這有多數的原因是Microsoft Windows實在太風行了,因此有心人事當然以此為表演舞台,能見度自然高出許多,Microsoft為此當然也是傷透腦筋,目前最有效的方式其實是隨時安裝Microsoft提供的修補程式,讓Windows能隨時保持在最新的狀態,除此之外,當然網路的環境也很重要,以我的習慣會從網際網路到電腦會有兩層左右的防護,電腦本身除了一定要安裝patch外,也會設定上firewall以及安裝防毒軟體,基本上可以讓電腦中毒、駭客入侵的機率降低很多,再來就是定期查看流量,不定期sniffer以及掃描漏洞,比較老練的MIS可以讓中毒、被駭、被攻擊的機率幾乎無效。

自從鼎新的ERP進駐機房之後,其實我一直提心吊膽的,歸納出來的原因其實很簡單,問題出在鼎新的骨灰級伺服端軟體上。鼎新的骨灰級伺服端軟體常用的大致上如下:
1.SystemController.exe ->版權、授權連線人數管理用
2.ScktSrvr.exe ->Borland Socket Server(三層架構的Middle-Tire)
3.Dispatcher.exe ->鼎新報表派班中心(產生報表後存入PostgreSQL)
4.EFDispatcher.exe ->電子簽核派班中心(產生ERP的憑證存入Flow主機)
5.如果有買其他產品的話還有些派班中心

就是上面這些程式所導致出現的大漏洞,因為這些程式必須要在Windows Server 登入後,才能開啟。
也就是說,如果Windows Server在還沒有登入的狀態下,不能被執行。
好啦,我就有了幾個問題:
1.如果伺服器沒有登入,全公司的ERP是停擺的狀態。
2.如果Windows設定自動Update,那Update完成後會自動重新開機,自動重開後如果沒有人去登入,就會像1.一樣停擺
3.要執行伺服端軟體,就一定要載入Windows Explorer(UI),浪費伺服器的資源
4.如果Windows設定手動Update,那除非MIS每天待在伺服器前面等Update,否則一定產生空窗期


因為上述原因,我在兩年前吧,就要求鼎新處理了,結果得到產品中心的回覆是頂多可以改善上面的1、2,方式是叫我自己想辦法寫程式讓Windows自動登入後自動鎖定。好啦,就算我會寫,這個方式是解決之道嗎?說穿了,這個問題鼎新的產品中心仍然是打算是不改善。

所以要嘛被當"肥羊",要嘛派個MIS在那邊顧著Server,我想大部份的資訊單位就算剛開始會顧Server,最後也會自然而然的變成"肥羊"吧...(好啦,我承認我就是這樣啦...),所以啊,最近就有發生一件事差點Server就淪陷,還好我發現得早趕快上Windows的patch。

談到這裡,熟悉網管的人員應該知道問題出在那裡了吧...,對,一般伺服器的軟體會跑Service的型式,但鼎新的伺服器的軟體一定只能跑應用程式的型式,那麼為何不用SrvAny把這幾支程式跑成Service呢?因為透過這個方式跑成Service的時候,有幾個問題:
1.看不到執行狀況
2.派班跳出msgbox的時候就卡住了(網管也看不到Log)
只有SocketServer可以用這個方法跑成Server,但是派班的這個方式還是行不通。
就算是可以連上ERP,報表也跑不出來、也不能跑電子簽核。

就因為這樣,變成三不五十全公司等著你把Server登入,三不五十有人會來跟你說報表出不來、電子簽核跑不出來,三不五十可能會被當"肥羊",這樣子的穩定度夠資格叫ERP嗎?
你敢讓公司的ERP曝露在風險之下嗎?


PS.我公佈這個漏洞是希望鼎新改進,請各位"高手"給點時間,謝謝。(你們知道我在說什麼吧...XD...)

鼎新Cosmos ERP會計傳票摘要重大BUG

日前我們有回報一個狀況是,從前面例如應收付、票據…等系統拋轉至傳票的時候,摘要會被截斷的問題,其實這個問題是因為鼎新在設定欄位規格的時候,就已經是太小的了,所以導致在進行分錄的時候,就已經把摘要截斷,轉成傳票當然也就是不完整的摘要啦!這在財務或是會計的眼裡,是一個很大的問題,因為登帳內容會被截斷,如果被查帳的時候就很好笑了,結果這個問題回報後,在今天得到鼎新「產品中心」的回覆如下:

098/07/20 產品中心處理狀況:已處理 此部份因會更動到TABLE欄位大小,在此版無法更動,摘要欄位記錄簡要資訊,內部會再評估是否在大版調整此欄位

呵呵,總而言之就是「不處理」嘛。
雖然我沒有進一步詢問為何「更動TABLE欄位大小」跟「此版無法更動」中間有什麼關聯,不過依照以往的經驗得到的答覆應該會是「因為只要有動到TABLE,就算是大型版本更新,所以只要有動到TABLE,不論是否為BUG,都不視為BUG」這種不負責任的理由(很好笑對吧...可能是我寫程式還不是很久吧,想不透這是什麼歪理…呵呵呵)。再來,如果急著要改,可以,請花錢個案客製,一個小時兩千五以上,至於幾個小時就看鼎新打算要坑你多少,就是這麼簡單,那等下個版本嗎?不,鼎新從來不會說他們下一個版本會不會改善,甚至我從8.x版更到9.x已經快一年了,沒有Release Note,更不用說在版本更新前會有Pre-release Note,也就是說,萬一下一個版本也還是有很高的機率會維持現狀。

你想想看,維護合約寫得很好聽,有BUG鼎新會負責到底,結果什麼是BUG?沒有啊,那裡來有BUG?
要改程式,可以啊,計算機拿出來,鼎新按給你。原來錢是這樣賺的呀。

鼎新Cosmos ERP-別相信它完全支援"簡繁"中文

這篇文章是專門寫給正在評估ERP系統的新朋友的,如果導入的範圍在現在或是未來可能包括大陸分公司的話,這文章供你參考:

我知道鼎新業務會跟大家說,鼎新在大陸與神舟數碼合資,而且WorkflowERP以及CosmosERP都有支援簡體中文,事實上,在目前WorkflowERP以及CosmosERP都不能完全支援"簡繁"中文,而且神舟數碼與台灣鼎新在產品上的定義是完全不同的產品。請特別注意。另外,有興趣可以看一下【鼎新電腦的誠信問題

首先,何謂不能完全支援"簡繁"中文?以我們的實際使用經驗來說,有幾個問題:
1.在簡中OS上執行簡體模式所輸入的字元,在繁體OS上用繁體模式看會出現"?"或空白
2.上述反之亦然
3.在繁中OS上執行簡體模式,完全不能輸入簡中(繁中OS切成可打GBK之輸入法)
4.上述反之亦然
5.簡中模式下自訂憑證的設計畫面的右鍵是亂碼
6.簡中模式下自訂憑證的設計畫面的物件檢示器是繁中的文字
7.詞意不正確
8.報表有時會不經意出現亂碼

那麼上面這幾點有可能發生的狀況有哪些呢?例如:
1.大陸打的單,在台灣可能因為它文字變空白或是?,就查詢不到了
2.大陸打報價單,台灣將報價單轉為訂單時,前後資料會有落差

光是上述幾點,如果是我,可能就會考慮一下了,因為這幾點會影響到我們實際上操作的流程,
而且應該不會有人希望前後資料不一致吧?
這個狀況導致的因素,是因為鼎新是透過轉碼表來達成文字轉換,但是轉碼表上沒有的字,就空白或"?"給你看,而資料庫則一致為BIG5的編碼,所以如果寫進去就寫空白或"?",後面一連串的單據就是一堆空白跟"?",很搞笑吧.
這樣的狀況也能在牌價五百萬的產品上發生,算是夠強的了...,如果是我搞不好連賣都不敢賣吧。

OK.那再來談談神舟數碼,其實當時我們跟鼎新洽談大陸教育訓練的需求時,鼎新會一直提到神舟數碼,讓我們以為我們大陸的員工可以到神舟數碼上課,但其實一點關係也沒有,神舟數碼的產品跟鼎新產品可以看成完全不同的產品,所以當然大陸的員工是沒辦法上大班課的,如果要上只有兩種方式,一種是上鼎新的線上教學,另一種就是額外付錢給鼎新把顧問、教師送去大陸上課,不過顧問費跟教育訓練時數價格差很多,送顧問去可能除了機票住宿外,還要顧問費,顧問費需要看維護合約談定內容,他們的牌價好像是NT$3000/hr。

對了,另外如果相在欄位內輸入其他語言,例如日文、韓文…等,就不用考慮了,鼎新只有tiptop能用,不過老實說,我是還滿懷疑相對冷門的informix/4GL能夠讓維護成本降低嗎?能夠有良好的效能嗎?

上述案例供各位新朋友參考

鼎新Cosmos ERP借出入單漏洞修補後續

是這樣的,有幾家CosmosERP的"同好"(還是受害者?),在詢問這個問題處理的後續,
事實上在原文文末有加註上鼎新打算採取的對應方式.
可是,我發現仍然還有一個問題是,如果員工在輸入借出單時,如果他選的借出對象是廠商,那麼單價的取價會是「最近進價」,那麼也就是說員工透過這個方式仍然可以取得公司物品的進價為多少。

原本這樣的取價大家覺得不太保險,所以我再跟鼎新指出這個地方還是有不妥,希望將取價由原本的「最近進價」改為取得「標準售價」,我的考量是即使廠商的借用因為經過了交易,就會有成本的發生,不應該會是進價借出,如果需要進一步交易時,價格不會是進價,當然如果需要用進價銷售時,應該是主管同意並提出進價金額做為銷售金額,否則會造成員工自行使用些價格交易時,若員工品行不良時,造成公司損失。

不過這樣的建議被鼎新駁回,鼎新認為這樣的建議並不符鼎新客戶的期待,換句話說,鼎新認為功能的改善如果單一客戶的說明是不被接受的,但是如果多家客戶要求,是可以改的。
如此一來我們可以知道兩件事:

1.鼎新不理單一客戶的質疑,即使它多麼白痴的設計。
2.鼎新希望客戶串聯起來?

所以呢,大家如果有空的話,先更新一下大家的PKG,然後再打去要求他們改吧...
反正鼎新很喜歡同樣程式要改很多次才到位...

那,有幾位已經是懶得跟鼎新耗的"同好"們,我可能要說聲不好意思啦,沒有完全達成目標,我成為你們的一員了...XD...
也知道你們為啥懶得跟鼎新耗了...哈哈哈...

鼎新電腦的誠信問題

昨天關於鼎新的事,我下了一個難以決策的決定,那就是要求把現在服務的業務人員換掉,為什麼這麼做?
難道是業務人員不夠努力嗎?不,我覺得是夠努力了,但是人在每一個位置上總是有個人權責上的極限,並不是做不到,而是受限上司、公司的限制,所以也許不能讓客戶有滿意的服務,就這件事情上,我認為盡到該盡的責任與義務,是可以交待的過去的。

那為何要換?很簡單,誠信的問題,一個很基本的、很簡單的原則,這位業務從認識他開始,我就已經不停地被放鴿子,我弄不清楚他現在答應我的事,到底會不會被實現,跟我約好的時間,我不知道他會不會出現,跟我確定好會收到的資料,我不知道跟老闆報告以前我是不是能收到,那麼,我怎麼能確定我們談好的事,是否可以如期搞定?

今天剛好有一篇文章可以分享給各位,【如何成為業務工作領域的佼佼者(二)】,文章開頭即開門見山地說:「銷售之前必須了解的事:信任感」,雖然是再普通不過的形容,卻也恰如其分表達身為客戶的感受,客戶在用過產品以前,其實並不知道產品好不好用,只能靠業務的說詞、展示的資訊來判斷,如果客戶相信業務就會下單採購,如果不相信業務也就不會下單採購,就這麼簡單,合作的關係就建立在信任感上。

那篇文中提到,一個例子,是作者在澳洲發生的事,其實這個故事真的很像我們跟鼎新的合作狀況,只不過在剛開始與鼎新的接觸時,給我的感覺其實並不是很理想,因為業務會攻擊其他公司的產品,卻忘了自己的產品也有著更多的缺點,也在這種狀況下,業務有很強烈的自信心向我們推薦產品,也提供了許多所謂的成功案例來強調產品的適用性,而我們也基於信任感相信業務的話,雙方握手合作。

可是再接下來的一年裡,總是有不停的Bug被發現,總是有功能是明明應該是很容易被操作的,卻被不合邏輯地複雜化,然後被提出來討論的時候便開始推拖、避重就輕,這一切就像那篇文章裡把玻璃打破的大師,完全地把信任給打破,現在,要重建這樣的信任感是何其困難?

然而在今年換了一位新的總經理,剛開始的確在我們之前遲遲無法解決的問題有了些共識,也以為鼎新也下定決心要重建客戶的信任感,聽說也為此對於鼎新的老客戶有專門的人來維持客戶關係,同時也跟總經理有共識,希望我可以較為和緩地處理事情,就在這一切似乎前景看好的時候,我觀察了一個月,這一個月以來有爭議的問題還是0進度,放我鴿子的還是照放我鴿子,有改進嗎?留給看倌們自行判斷。

我不是業務,也許是因為這樣沒辦法理解業務為什麼會常犯這種扯謊的戲碼,但是我不能不相信業務,我只能驗證後發現業務是沒辦法被信任的,那麼在這樣的前提下,我不知道有沒有,因為目前遇到的兩位業務都喜歡把玻璃打破,但我只能希望能有一位值得信任的業務。

行文至此,難道全然是業務的過錯嗎?也不盡然,我想有很大的因素在於鼎新的主事者對於公司的領導有相當的問題,雖然我本身沒有領導過這麼大的公司,但是以客戶的角度來看這間公司的時候,會是一個很特別的組織架構,它是一個完全以"利潤"為中心的公司,當然大家都不覺得那裡奇怪,開公司那有不想賺錢的呢?沒錯,可是當產品出問題的時候,需要A+B兩個部門解決,可是解決問題需要成本,兩個部門因為以"利潤"為中心,結果就是誰都不願意花這個成本解決問題,落得客戶只能看著兩個部門推來推去,最後問題就晾在那兒,當業務的就只好想辦法編理由哄哄客戶,哄得過去還好,哄不過去就只好賠上信用,這樣對鼎新來說真的會賺到長久的錢嗎?還沒有ERP的公司,還會想把命脈交給這樣的公司嗎?也許各位資訊人可以好好的想一想。

不論你同不同意、喜不喜歡我的觀點,都歡迎與我聊聊。

微軟發佈Windows Server 2008 / Vista SP2

微軟已在2009.6.22正式發佈了Windows Server 2008 以及 Windows Vista的Service Pack 2正式版本,大家可以去更新一下...

X86下載頁面

X64下載頁面

主要的更新內容:(參考)
1.支援藍芽2.1
2.支援藍光燒錄
3.exFAT檔案支援UTC時間標記(修正不同時區文件同步的問題)
4.支援VIA 64位元CPU
5.支援 ICCD/CCID 卡
6.支援Hyper-V
7.SP1發佈後的安全性更新
8.Windows Search 4(檔案搜尋效能增強)
9.改善側邊欄小工具吃資源過重的問題
10.新增Windows Vista Feature Pack for Wireless
11.改善某些狀況下,從Sleep恢復後,Wi-Fi無法自動連線的問題
12.新增Service pack clean-up 工具