目录:
| 序号 | 简述 | 日期 | 责任人 | 备注 |
|---|---|---|---|---|
| 1 | 擅自把喜阅会员协议隐藏 | 2020-04-24 | 水镜 | |
| 2 | 托米重复扣服务费 | 2020-07-01 | 乐进 | |
| 3 | 浏览器HSTS(把http自动转https) | 2020-07-08 | 马丁 | |
| 4 | 域名解析多条导致证书无效 | 2020-07-29 | 马丁 | |
| 5 | 喜阅拒绝提现后,余额多退1倍 | 2020-08-06 | 文定 |
1、擅自把喜阅会员协议隐藏
描述:4月13日喜阅迭代中,有优化会员付费相关页面样式,而在原型的word逻辑说明中,页面截图未截取会员协议,故开发人员水镜在开发过程中直接照抄该UI,使得会员在付费过程中未阅读该协议,存在严重的法律风险,直至4月24日集团法务发现后,紧急修复该问题。
2、重点单据未加锁算法
描述:6月23日托米迭代中,新增了扣除服务费的业务逻辑,7天内每隔5分钟轮询判断,由于业务设计随意性和安全意识弱,导致出现5个账号不同程度出现多扣服务费的现象,直到1周后,才被客户发现后修复该漏洞。
3、浏览器HSTS(把http自动转https)
描述:http请求重定向到https,是因为触发了hsts,具体答案:https://developers.weixin.qq.com/community/develop/doc/000ea0dc03c838639f6909cd35b000
4、域名解析多条导致证书无效
域名解析,一个域名可以解析多个,导致部分用户证书正常,部分用户失败
解析的事让一个人专门负责,多个人去解析,先查询是否域名已被解析再操作
5、喜阅拒绝提现后,余额多退1倍
描述: 8月6号晚,喜阅发版后,提现拒绝,钱包余额多退了1倍。此代码对应的批量审核提现接口,并不是我写的,只是我修改过这个接口的bug,但是这个bug隐藏的比较深,必须要把整个钱包模块的业务逻辑理解清楚就很容易改掉。此段代码是喜阅正式开发的第二周改的,当时对整个钱包模块的逻辑并没完全掌握,修改后其实跟钱包业务逻辑是背道而驰的,但是测试人员是测不出其中的问题的,就跟正常拒绝提现,余额退还一样的效果,所以当时以为没有问题,导致这段代码一直留有后患。直到7月31号发版,钱包一个查询接口有个bug,有个拒绝类型少了,迭代做到8月6号的版本中,才暴露出来。幸好当晚就把这个问题揪出来了,否则后果不堪设想。所以我想说的是,不管这段代码在其他项目中有没有,只要你要对它做一些调整或是修改,你就必须得把整个业务逻辑都理解清楚,因为这种问题光靠测试人员是测不出来的。特别是对于钱这种比较敏感的代码,感觉当时才正式开发第二周,就改这种危险代码,心有余悸,以后对自己不确定的代码问题,一定要让上级审核一遍在提交,否则哪天掉到坑里,都不明白!
若有收获,就点个赞吧
0 人点赞
