绕过管理员帐号安全提问，登陆论坛前台的一个可能性。

首先，本人非技术性人士，只是接触DZ有几年时间，近期在研究UC的单点登陆与接口方面，想给自己写的一个网页平台接入到现有的DZ中，使用UC的会员同步登陆。

因为本人小白，所以直接使用官方的文档http://faq.comsenz.com/library/UCenter/example/example_index.htm，并且下载那个范例，放到我写的网页平台中，成功实现了登陆，并且同步了论坛的UC的好友、短消息、头像等，不过在UC后台看到通讯是失败的。另外，可能是由于我这个网页平台与我的论坛用的是不同的一级域名，所以在平台登陆或退出，可以同步到论坛，如果是在论坛登陆退出则同步不到平台。








这些都不是重要，下面要说的是安全问题。假如，有不少像我一样对技术并不是很懂的站长，刚好就像我这样下载了官方的这个范例稍作修改就用到了网站实际中的话。

那么，会发现在网页平台上用论坛的管理员帐号登陆时，即使你在论坛是设置了安全提问，在这里登陆都是不需要的，直接输入用户名与密码就可以登陆了，然后再跳到论坛去看时，因为是同步登陆，所以也自动登陆了论坛。

于是问题就来了，如果有黑客在网页平台用破解工具获得了管理员密码（很多朋友的密码并不难），那不就是就可以登陆论坛前台进行各种操作了？不就是直接绕过了管理员在论坛设置的登陆“安全提问”了？

有朋友会说，既然可以破解管理员密码，那么黑客直接在论坛上登陆就行了，当然有这个可能，不过一般管理员帐号都知道设置一个登陆安全提问的，我一度以为有这个的话大大提高了安全性，现在来看并非如此。当然，我说到的这个例子是有前提的，就是上面提到的假如，假如也有像我一样的不懂技术的站长（DZ站长群中可真不少的），假如刚好也用到了这个官方提供的范例，或者自己写了一个差不多的接口范例，就有可能出现这个安全问题了。严格来说，这个属于ucenter的安全问题。

个人觉得，官方的这个范例应该也顺便写上一点安全方面的代码，虽然我不懂是不是应该从接口这边写。或者，至少提醒一下，让站长自行增加安全提问等验证。

学习了