当当大众联盟的安全问题

作为国内最大的网上书店--当当书店，最近推出了一项服务，好象是叫什么大众联盟。因为我也有个人网站，而且暂时没有找到好的广告商，想到当当书店规模那么大，信誉应该没问题。所以我就申请成为会员。不久确认信来了，共两封，主要是包含一些用户名，初始密码和广告代码。

　　但是，当我看到这个用户名和初始密码时，直觉告诉我，这个系统有问题，产生的用户名和密码是可预测的。换言之，初始的密码和用户名是相同的，而用户名则是非常有规律的，其中包括一个固定部分和一个可变部分，以我的P-100620为例，其中P-是固定的，后面的部分则是顺序递增的。还有一点比较奇怪，那就是这个用户名是可以改变的，但是很多人懒得改或者根本不知道能改，所以我们能够很容易的构造一个用户名和密码（和用户名相同）来登陆，经过测试，成功率达到90%以上。

　　我想，这个安全问题的主要责任还是在当当联盟身上，因为它的初始用户名和密码相同，而且用户名可预测，而这个初始用户名可改变这件事情却没有明确的让用户感觉到，而广告代码中含有这个初始用户名，则更是迷惑了很多用户，难怪他们感觉不到你。当然，用户也有一定责任，他们没有改变初始密码。

　　但是无论如何，我想作为电子商务站点，安全问题是至关重要的，存在这么低级的安全问题，你们是不是应该好好地考虑一下呢？ 注：我已经给他们的网管发了好几封信，但是没有收到回信，所以我把这篇文章发在这里，希望大提高自己的安全意识，也希望当当好好地反省一下自己！！！