9月18日凌晨消息,铁道部唯一的官方订票网站12306.cn周日完成了新一轮升级,但是多位用户反映,升级后用户购票可能会被强制排队,由于系统存在多处漏洞,排队后购买失败的概率很大。
家住北京亚运村的刘许已经是第三次从12306购票了。经过了春节、五一长假的“磨练”,他已经对购票流程相当熟悉,早早的开始关注购票信息。不过,这一次他可能要失望了。
当他好不容易完成所有订票流程后,系统提示订单已经提交,但是需要30分钟时间排队处理。在等待了漫长的30分钟后,系统却显示订单处理失败,需要重新提交。
用户提交订单后会被强制进入排队系统
刘许皱起眉头反复尝试提交订单,但是等待了多个30分钟后,每一次都被提示处理失败。
给暗箱操作留下空间
据官方介绍,排队系统是12306上周日升级后新加入的功能,目的是为了减轻网站的瞬时压力,只在用户订购部分热门线路时才会被激活。不过这个功能上线后,效率低下引发大量网友吐槽,截至17日晚,相关微博结果超过100万条。
“用户订票的时候需要在队列中排队,时间不等,而且倒计时完成后还会重新倒计时,12306的处理方式很流氓。”网友@飙攻城狮说,这种方式好比风景区的厕所不够多,不去新增厕所,而是挂上牌子说厕所每人限上一次。
此外,还有多位网友反映排队计时不准。“刚刚显示排队20分钟,现在又说要排队25分钟。”网友@小艾_江边表示,之前买票,系统有多少余票都可以实时看到,能不能买到也能马上知道,但是现在只能傻等排队倒计时完成。
小艾认为,现在的订票系统是一个黑洞,用户不知道有多少票,也不知道能不能买到,这样设置讲给内部的暗箱操作和腐败留下空间。
12306的客服人员在与新浪科技交流时承认排队系统确实存在漏洞,用户体验不佳。他表示将向有关负责人反映这个问题,但是并未给出解决的时间表。这位客服人员建议拨打95105105进行电话订票。不过,新浪科技多次拨打95105105均未接通。
12306域名存在劫持风险
事实上,12306官方订票网站存在漏洞并非首次。来自第三方安全问题反馈平台乌云的报告称,12306网站重要业务系统控制不严,加上一些管理不善,导致IT系统可以被攻入,12306.cn的域名可能会被劫持。
发现这则漏洞的人员介绍说,12306.cn域名的持有人为刘刚,邮箱为liugang@sinorail.com,而在中铁信息工程集团办公平台首页则赫然写着默认密码为123,该人员使用刘刚的邮箱和默认密码顺利登入了办公平台。
通过系统漏洞可以轻易进入中铁信息工程集团内部办公系统,查看到所有人员的信息。
由于“刘刚”是系统管理员,属于高权限用户,使用他的账号可以轻易找到这家公司全部人员信息、财务信息,并可以进行删除、修改等操作。目前,中铁信息工程集团已经确认该漏洞的存在。
除此之外,12306还曾被发现存在邮局漏洞、SQL注入漏洞、敏感文件泄露等多项漏洞。
一位安全专家分析说,12306网站从一开始就没有把安全性作为核心需求,从设计阶段就已经漏洞百出,同时代码质量和用户体验都与主流互联网公司相去甚远,还停留在上个世纪的水平。
狙击网络代购谋求独享网购渠道
虽然12306体验不佳,铁道部门却并不想与他人分食网购火车票的大蛋糕。
今年3月,京东商城、携程网、天猫等相继通过与铁友网或代售点合作的方式,开展火车票网购。其中京东商城是代购形式为旅客提供网上购票服务,每张火车票收取5元服务费以及每件20-35元不等的快递费,其合作方铁友网具有线下实体代售点运营执照。
4月初,铁道部发布公告,强调铁道部门没有授权或委托任何其他网站开展火车票发售及代购业务,并称国家规定售票除了5元服务费,不能加收任何其他费用。京东商城等网购火车票服务被全面叫停。
随后,一场整顿火车票代售点与电商网合作的行动随之展开。据《中国经营报》报道,铁道部要求各个代售点不得自行开办网上售票业务,不得以各种方式与其他网站合作或联营;售票时必须查验乘车人身份证件原件或复印件,不得通过报号等方式。
中国旅游研究院院长戴斌在新浪微博表示,“禁止第三方网站销售火车票是典型政府主导并保护封闭式垄断,不利国民旅游福祉和产业发展。”
携程网CEO范敏则转发上述微博,并评论道:“推动市场良性竞争是政府的天职,放开高铁票务有利铁老大改善民生形象,机票早已市场化,高铁为何不可放开?
原文来自开源中国
PS:国庆学校放九天假,今天一大早就打开12306抢票,一直在排队我就不说了,而且还失败,多次提交都未果。。悲哉
而且谷歌的的chrome访问https://www.12306.cn/mormhweb/kyfw/错误地址,https加密协议通道还是个无效
各种证书下载,悲催的路人
----------===============-----------------更新新闻----------------------============-----------------------
铁道部:1.99 亿招标合规
■ “铁道部新客票系统巨额花费遭质疑”追踪
针对近日媒体报道太极公司以1.99亿中标铁路新一代客票系统工程情况,昨天,铁道部信息技术中心负责人回应,这一招标符合法定程序。
系统高额花费引质疑
中秋节与国庆节前夕,中国铁路客户服务中心如春运期间一样出现了登录难的情况,网站原本为了缓解服务器压力而采取的排队功能,在实际操作过程中 造成了网上买票“有座却排不上队”的局面。就在公众对12306网站不满意时,太极计算机股份有限公司公告称,公司参与了中国铁道部“新一代客票系统一期 工程项目”的公开招投标,确认已正式中标。公告显示,“新一代客票系统一期工程项目”中标金额1.99亿元。
该公告引发公众和媒体质疑。有媒体援引一位相关人士的说法称,一般客票系统的建设费用合计不超过3000万元。
铁道部称招标依法合规
昨日,针对上述质疑,铁道部信息技术中心回应,铁路新一代客票系统建设,是依据国家有关规定并面向社会公开进行招标的。太极公司以1.99亿元中标部分软硬件设备和集成服务。这一招标符合法定程序,在新一代客票系统一期工程中,已按计划使用了部分招标采购的设备。
该负责人还称,目前,系统建设还在进行中,待工程完工之后,系统功能会进一步强化和完善。
个人吐槽:针对这个系统的价格我就不做评论了,大家上,但是对于这个系统我做点自己的看法,希望能够起到抛砖引玉的作用,系统是用HTML+JS+JSP 写的,JS比较多,而且用了很多jquery框架;系统的总票=网站售票+火车站+代售点+电话订票;对于网络售票,用户先查询票,当有票时下订单,排队(时间不确定),成功排队下单,支付(45分钟);那么对于这个就有一个前端web服务器群,在应用层服务器群,火车票管理服务器群(票库),那么现在问题就出来了,铁道部说排队问题的解决方法是增加带宽,但是一个国家部门的带宽应该不会太差吧?问题我多半认为是数据库的问题,应用服务器层处理速度,如果应用高速缓存快速响应与消息队列,能够异步处理的就异步处理那么对于这个大吞吐量的服务系统应该有所改善; 欢迎各位吐槽
==============更新================
被爆库了
http://hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=--%3E%27%22%3E%3CH1%20style=%22color:red;font-size:100px;%22%3E%3Cimg%20src=http://42rt.com/uploads/allimg/c120825/1345XSV554F-4D60.jpg%20/%3E%3C%2FH1%3E
围观:http://t.qq.com/p/t/141208128992571