查分这件事,今年经历了两次,虽然都不是给自己查,但心情都是比较焦急的。
一次是给小舅子查高考分数,还好,凌晨 2:41 查到了。
一次是给媳妇查省考分数,过去了近 40 个小时才查到。
实在是有点不吐不快的感觉了。
虽然文章写到一半的时候查到了。但是想了想还是把文写完吧,权当记录一次互联网的记忆。。
UPDATE:写完文章看了看,最新的进展是,网站接入了 Cloudfare 防护,已经恢复正常了。这是对的,不过我个人觉得,恢复正常的根本原因并不是靠 Cloudfare ,而是换了服务器,服务器性能不提高,外部防再多也没用,文里会详细聊。
我总觉得查分是个仪式感很强的事情,可能会有大心脏的人不在意分数,说考完了结果就定了,早知道晚知道有区别吗。
但是,查不查是考生自己的事情,能不能查得到是考试中心的事情吧。
小时候老师总教我们,上课说话影响同学,占用全班每人 1 分钟,就浪费了一个小时。
河南考生近40万,姑且按20万人在查分说,已经浪费了 720 万小时,也就 822 年。人的一生按70年算,四舍五入也就刚刚浪费了 11.7 个人一生的时间呗。
这篇文章里,会有一些客观所见的部分,也有个人推测的部分,不论是哪种言论吧,我自己都会负责的。
一、聊聊 HTTP 状态码
第一部分是科普,跟大家聊聊什么是网络状态码。
这次查分让这么多人学习到 502 503 甚至后来出现了 403 404 504,也算是一场功德。
其实 502 和 503 在日常出现的频率没那么高,我们更熟悉的一个状态码是 404,导致 404 的原因归根结底就是你试图访问一个不存在的资源,可能是被删除了或者怎样,稍微有点上网经历的人对 404 都不会陌生。
因为 404 出镜频率过高,因而网上也出现了很多个性化的 404 页面,不再是枯燥单调的 Not Found,也开始有了“你来到了没有知识的荒野”“页面走丢了”和“宝贝回家公益广告”。
当然了,说 404 出镜频率最高肯定是不对的,HTTP 状态码中的 200 是正常访问,只是当你正常访问的时候,200 就没机会出现在页面上了。
二、查分网站分析
我已经连续几年查分了,所以在河南省考查分方面还是有点心得的。这几年我自己肉眼可见的,没发现网站有什么变化。当然今年闹得比较大,希望能一劳永逸地解决问题吧。
这次的查分网址是http://www.hnrsks.com/LinkPage/cjcx_dl.aspx?state=1&Id=4870
大家可以看到网址后面有个 ID,现在到 4870 了,等到网站可以正常访问以后大家可以试试,这个网站所有的公告、查分、附件,用的都是这个递增的 ID,也就是说,查分前你只要找到最新的一篇公告,比如 4865,然后挨着往后试,总是会找到查分链接的。
然后,这个网站的惯例是,出分前一天晚上,会在 9 点左右开始打开测试查分的通道,但是当时的标题是没改的,他就用过去某个查分网页的模板,先把成绩的数据链接上去,所以 9 月 16 日晚上第一批查到分数的人,截图显示的都是 2014 年河南省一级建造师成绩查询。
然后这个查分链接被人发到网上,被机构大肆宣传。谁是第一个发现的又是如何发现的呢?不知道,我猜是试出来的。
之后就是漫长的等待和重复出现的 502 503 了。
这段时间里,考试中心做了什么呢?
9 月 17 日的一段时间里,查分是会遇到验证码的,提示是 waf_verify,WAF 就是 Web Application Firewall。
当时我看到还很高兴,觉得网站有救了,现在想想太天真。因为输完验证码,里面照样打不开,而且过了短短半天,验证码又不见了。
以下是个人推测,不作为任何真实性参考。
我个人揣测,这可能是哪个程序员领了个 WAF 的优惠券,有半天试用,或者买了个最低档次的流量套餐打算试试效果,然后用完了吧。
当时的 WAF 应该是把用户导到另一个单独的页面(这个页面和查分官网本身没有任何关系,单纯地是一个进入查分页面的前置验证),所以验证码的页面没有任何问题,可以毫不费力地打开,但是当你通过了验证码这关后,里面的页面本身没有任何变化,还是无法打开的状态。
大家一直在说,服务器瘫痪,那服务器在哪呢?难不成真的在哪片地里种了些土豆吗?
我们先解析地址,再反查 IP,可以看到同一 IP 绑定了很多域名。
试图访问几个试试,发现虽然没有啥关联,但是都指向了同一个云服务器商。
所以这次的事实部分:开发语言是 ASP,查询请求时提交的是明文准考证号和身份证号。
我的推测:(原来)用的是又拍云的服务器
当然,云服务本身是好的,千万不要让云服务器背锅,云的好处就在于资源自由配置,可多可少可大可小,弹性资源调度本来就是云的优势所在,只能说没好好利用和发挥吧。
9 月 18 日,上午大概 10:30 左右,服务器从浙江切回了郑州联通,个人推测可能是中原云。然后短暂地恢复了服务,之后开始出现 403 404。
到 11:10 分左右,网站上线 Cloudfare 防护服务,需要高强度认证后可以查分,宣告恢复正常。
我个人对维修的结果是认可的,虽然迟了很久,也比没等到强。
不过我觉得,恢复正常的根本原因还是切换了服务器,Cloudfare 属于锦上添花,当然有的话更好,因为正好跟我要写到的下一部分有关系。
三、华图为什么能查到分数
在服务器瘫痪的 30 多个小时里,有不少人通过华图查到了分数。
我们先看正常用户在官网是怎么查分的:
1、打开主页
2、打开查分页
3、输入准考证、身份证查分
那么华图是怎么查分的呢?如果你去看华图的查分链接,就知道他最终还是需要去官网查。只不过做了个网络请求的中间商,我之前说了,考试中心查询请求时提交的是明文准考证号和身份证号。所以华图直接提交第三步,就可以“帮”大家查分。
当然,这次加了 Cloudfare 之后可以在一定程度上防止第三方的机器人查询,所以也是有用的,不过吧,考试中心的网站一年到头也就这几天访问量大,还是云服务弹性配置资源更科学。
http://www.hnrsks.com/LinkPage/cjcx_list.aspx?id=4870&lx=3&zh=准考证号&zh2=身份证号
那华图为什么要“帮”你呢?大家自己想想吧,反正我是不会在第三方网站查分的。
包括岗位排名也不建议大家用,去看看华图的隐私协议吧。
所以有些时候不要只是责怪机构的推销短信和电话,想想自己是不是已经默认同意过了。
说起华图,还有一个吊诡的事情,就是华图居然注册了河南人事考试的认证微博,这你敢信吗。
我之前试图找考试中心的电话的时候,打 114 查不到号码,打 12333 说已经反馈过了,但是不清楚考试中心的电话。
然后我找到了个微博。
我寻思不像啊,然后一看域名是 .org
国内的互联网有一点好,就是备案。我们根据备案可以查到:
真有你的,华图。
(还有另一个 .cn 的域名,也是华图的)
另外的另外
org这个网站已经彻底被篡改了,但是挂的备案还是华图的注册主体。
华图的人如果看到了,还是早点把网站注销掉吧,留着也是祸害,说不定哪天网络安全法的主体责任砸头上了。
四、一些别的话
查分这件事在写完这篇文章时已经结束了,但还想说些什么。
我对中原大地的土地终归还是爱得深沉的,但是这类事情完全都上升不到责之切的地步,根本最低限度的期望。
换服务器是好的,加 Cloudfare 是好的,但是一劳永逸吗?明文提交身份证号改不改了,后台就接着用 ASP 跑吗?
排名为什么不能随着公布呢,非得等社会上五花八门的企业机构收集了考生的隐私,再堂而皇之地提供所谓排名吗?有些事情,与其让第三方机构去做,为什么不自己做呢。毕竟需求就摆在这里,客观存在啊。
我只想说,请多点担当。请不要给还没进入体制内的年轻人上这样的第一课啊。
最后,从网络安全的角度再多说一句。毕竟郑州正在承办今年全国的网络安全周活动。
你可能会说,这是用户多,这是访问量大,我又不是被攻击了,也没有被篡改啊,怎么就能说网络安全呢。
网络安全法第七十六条:网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
如果说瘫痪不算安全事件的话,那关停的网站最安全,瘫痪的网站最保密,但是失去了可用性,我们还有谈论安全的必要吗?
谨以此记。