mucai 发表于 2023-5-15 16:51:58

[FORGUNCY-19761]工作流手写签名的安全漏洞改进

本帖最后由 Patrick.Zhu 于 2024-1-11 15:42 编辑

流程可以设置“显示签名”,但这个功能设置有个安全漏洞,就是【保存签名】和【使用保存签名】。签名除出加了一层文件有效性的保证之外,还有防止盗号冒签的功能。如果审批人被盗号,将可以使用已保存签名。所以,至少要增加一个设置,是否开启保存签名功能~~~


roran 发表于 2023-5-15 17:14:40

安全大事!

Lay.Li 发表于 2023-5-15 17:52:51

感谢各位大佬的支持~
审批人都被盗号了,这个系统中的数据不都能被看到了嘛。应该加强账号保护管理哈,比如加个两步验证,手机号验证码登录的逻辑:lol

mucai 发表于 2023-5-15 19:25:40

Lay.Li 发表于 2023-5-15 17:52
感谢各位大佬的支持~
审批人都被盗号了,这个系统中的数据不都能被看到了嘛。应该加强账号保护管理哈,比 ...

实际应用场景中,企业里存在的奇葩事很多的
另外,不能因为存在一个非直接解决问题的方案,而回避能直接解决问题的方法,况且能直接解决问题的方式很简单

Lay.Li 发表于 2023-5-16 17:28:30

感谢大佬的反馈~
这个需求我这边给产品经理反馈一下哈:loveliness:
页: [1]
查看完整版本: [FORGUNCY-19761]工作流手写签名的安全漏洞改进