鼎新Cosmos WorkFlow伺服器端的大漏洞

話說Microsoft Windows是全世界最不安全的作業系統之一,但是我認為它是非戰之罪啊,坦白說這有多數的原因是Microsoft Windows實在太風行了,因此有心人事當然以此為表演舞台,能見度自然高出許多,Microsoft為此當然也是傷透腦筋,目前最有效的方式其實是隨時安裝Microsoft提供的修補程式,讓Windows能隨時保持在最新的狀態,除此之外,當然網路的環境也很重要,以我的習慣會從網際網路到電腦會有兩層左右的防護,電腦本身除了一定要安裝patch外,也會設定上firewall以及安裝防毒軟體,基本上可以讓電腦中毒、駭客入侵的機率降低很多,再來就是定期查看流量,不定期sniffer以及掃描漏洞,比較老練的MIS可以讓中毒、被駭、被攻擊的機率幾乎無效。

自從鼎新的ERP進駐機房之後,其實我一直提心吊膽的,歸納出來的原因其實很簡單,問題出在鼎新的骨灰級伺服端軟體上。鼎新的骨灰級伺服端軟體常用的大致上如下:
1.SystemController.exe ->版權、授權連線人數管理用
2.ScktSrvr.exe ->Borland Socket Server(三層架構的Middle-Tire)
3.Dispatcher.exe ->鼎新報表派班中心(產生報表後存入PostgreSQL)
4.EFDispatcher.exe ->電子簽核派班中心(產生ERP的憑證存入Flow主機)
5.如果有買其他產品的話還有些派班中心

就是上面這些程式所導致出現的大漏洞,因為這些程式必須要在Windows Server 登入後,才能開啟。
也就是說,如果Windows Server在還沒有登入的狀態下,不能被執行。
好啦,我就有了幾個問題:
1.如果伺服器沒有登入,全公司的ERP是停擺的狀態。
2.如果Windows設定自動Update,那Update完成後會自動重新開機,自動重開後如果沒有人去登入,就會像1.一樣停擺
3.要執行伺服端軟體,就一定要載入Windows Explorer(UI),浪費伺服器的資源
4.如果Windows設定手動Update,那除非MIS每天待在伺服器前面等Update,否則一定產生空窗期


因為上述原因,我在兩年前吧,就要求鼎新處理了,結果得到產品中心的回覆是頂多可以改善上面的1、2,方式是叫我自己想辦法寫程式讓Windows自動登入後自動鎖定。好啦,就算我會寫,這個方式是解決之道嗎?說穿了,這個問題鼎新的產品中心仍然是打算是不改善。

所以要嘛被當"肥羊",要嘛派個MIS在那邊顧著Server,我想大部份的資訊單位就算剛開始會顧Server,最後也會自然而然的變成"肥羊"吧...(好啦,我承認我就是這樣啦...),所以啊,最近就有發生一件事差點Server就淪陷,還好我發現得早趕快上Windows的patch。

談到這裡,熟悉網管的人員應該知道問題出在那裡了吧...,對,一般伺服器的軟體會跑Service的型式,但鼎新的伺服器的軟體一定只能跑應用程式的型式,那麼為何不用SrvAny把這幾支程式跑成Service呢?因為透過這個方式跑成Service的時候,有幾個問題:
1.看不到執行狀況
2.派班跳出msgbox的時候就卡住了(網管也看不到Log)
只有SocketServer可以用這個方法跑成Server,但是派班的這個方式還是行不通。
就算是可以連上ERP,報表也跑不出來、也不能跑電子簽核。

就因為這樣,變成三不五十全公司等著你把Server登入,三不五十有人會來跟你說報表出不來、電子簽核跑不出來,三不五十可能會被當"肥羊",這樣子的穩定度夠資格叫ERP嗎?
你敢讓公司的ERP曝露在風險之下嗎?


PS.我公佈這個漏洞是希望鼎新改進,請各位"高手"給點時間,謝謝。(你們知道我在說什麼吧...XD...)

11 Responses to 鼎新Cosmos WorkFlow伺服器端的大漏洞

  1. 1、2項問題如果我理解無誤的話,是指WINDOWS開機時的登入帳號(Administrator)密碼卡住,等待輸入後才能登入這樣嗎?
    如果是這樣,我之前有遇到,其實是可以修改自動登入並鎖定的,我們公司就是這樣,應該有Tools Software從Windows設定下手,這樣也能拖那麼久真的太誇張了,看了一系列你的鼎新ERP使用心得,還真是可怕,一般業界中鼎新ERP可是赫赫有名呢…
    我們公司還很想導入呢,只是$$頗可觀的…現在看到你的文章了解更多了原來鼎新Service做成這樣啊…哈哈…
    P.S其實我們公司處境也有點像你們不過我們用的嚴格說起來還不算是ERP(號稱),應該只能算是進銷存+POS系統,也是花錢搞得提心吊膽,IT主管不好做(我不是),要在BOSS面前說話有力,替公司開源節流比較有效益不然一天到晚被批花錢兇,我們自從BOSS出面跟廠商說狠話會換掉他們之後,他們就比較乖都會處理我們的問題了(之前也都愛拖放鴿子皮皮的),所以還是要耍狠一下他們才會怕…
    我服務於百貨零售業的MIS人員,有機會可以交流一下,呵呵…

  2. googlead says:

    可以讓Win自動登入...
    修改登錄檔機碼即可....
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "DefaultUserName"="帳號"
    "DefaultDomainName"="網域名稱"
    "AutoAdminLogon"="1" //自動登入 為1 不自動登入為2
    "DefaultPassword"="密碼"

  3. DSCWFERP says:

    這問題我已解決了
    就是將他們全部設定"排程"
    win內付的"排程"
    設定開機後 5, 6, 7, 8, 9 分鐘 分別執行
    ScktSrvr.exe, SystemController.exe , Dispatcher.exe, EFDispatcher.exe
    就可以解決
    這樣
    等您上班後 OR 發生問題
    就可以登入看看狀況了!

  4. Aloha says:

    我的3-tier ERP只包含3個元件:

    (1)PostgreSQL
    (2)server.exe、libpq.dll(共2個檔案)
    (3)tc.exe(共1個檔案)

    (2)和(3)之間的通訊加密、壓縮。

  5. 作者已經移除這則留言。
  6. 今年2012了,派班中心需要登入才會執行的問題也還沒修改...
    小弟的公司也剛導入,痛不欲生,程式BUG多、幾乎每天都要patch,然後又加上要客製,公司所花的經費跟MIS人員要時常去處理,真的痛不欲生啊...

  7. DANNOW says:

    今年我們也改採用VMWare的環境配合他們新的 P-Cloud
    問題依舊~~MIS要維護的好 基礎功要很強

  8. Jia says:

    今年2014了.......公司正在導鼎新系統,5月1日剛裝機完,這些問題都還在..........

  9. 交點 says:

    災情似乎頗多....= =+
    小弟公司目前只走到CRM就不知道板更更新除錯過多少次了.....
    看來我皮得繃緊一點.....
    會走進來
    是因未免是通訊軟體有的電腦可用
    有的電腦不能用
    感覺是borland socket server 的問題
    才來找答案的
    意外發現原來鼎心跟我想的差不多....XD

  10. Unknown says:

    ..............我們公司要導入時候 ,就已經有參考過此網站了!
    結果 ~~ 2015.10 鼎新一樣爛 ~ 問題一樣存在

    貴又難用,
    為什麼這麼多家用 ~
    因為業務抓的住不懂資訊的老闆或主管 味口

    2015年來簡報還說可以連結查詢.................. 這不是由 WIN95 之後應該有的功能了嗎?

    不過在傳產~ 資訊知識真的是非常2^10倍不足

  11. Alex Li says:

    時至今日… 問題依舊 或許就是因為有上述大大的"解法" 讓鼎新覺得這些都不是問題…

    我目前用的是WF GP4

    其實該有的功能都有,也有串查與報表功能…
    但是實務上常會遇到的就是功能不到位或是該卡(檢查)沒卡,讓錯誤資訊寫入後又不能修改…
    反應後有3個選項:1是教育使用者 2是個案新增 3自已想辦法...
    之前的學長比較強大,因為這樣寫了幾個"鼎新外掛"…

    如果ERP要到這樣才能適用於公司流程,導入前真的應該要再三思…


    目前在評估虛擬化…但似乎還是要透過 @DANNOW 提到的P-Cloud才能實現…(業務的官方說法)
    老實說 感覺很不合理,我覺得支付重新產生授權的費用(類似移機),是可以接受的,但為了VM要再買P-Cloud…就不曉得是哪招了...

Leave a Reply