SCL教学范式探索者

Bb 教师账号相互找回登陆口令

暨愚人节前夜发现某些Bb 课程或隐藏安全漏洞

昨夜十点，我正忙于敲上篇文档：“Bb 课程四种不同导航方式的浅要比较 ”时，看到我们学院Bb 交流群一位艺术学院的老师讲，他不慎忘记了Bb 的登录用户名和口令，十分着急。但此时已不是办公时间，辛苦的管理员老师也没网上在线，我突然想到我课程的控制面板中有个功能：注册用户。此功能可以查询本校所有的Bb 账号。我就尝试使用这个功能搜索了一下该老师的姓氏，如我所愿，一下就搜到了该老师的姓名。然后我把他添加到我的课程市场调查与预测，成了学生账号，再使用列出/ 修改用户，顺利的帮他重置了登录口令。

这个方法乍一看，很方便，管理员老师不能及时为教师提供服务时，教师和教师还可以相互帮忙，但同时，隐藏着巨大的风险，：学生黑客（或恶作剧者）的入侵（朋友们可以用搜索引擎搜一下关键词：大学生黑客，就可以略窥其猛烈程度）。该风险发生的概率很低，但是，一旦发生，可能造成某个学校的Bb 课程全部损失。安全漏洞可能发生的过程，如图1 所示：

图1 可能存在的黑客删除Bb 课程的作案过程

（点击图片可放大查看 ）

很多学校教师账号和学生账号格式明显不同，很有规律可循。比如学生账号多是学号，而教师账号往往是工作证号或者直接是姓名的拼音。而且多数教师网络安全意识不强，密码往往很简单，例如123 、1234. 甚至从没更改过默认密码。这样，黑客学生很容易通过猜测或者偷窥教师的操作，就能获得一个教师的账号。获取后，使用该教师账号登陆（假设是课程A ），然后使用控制面板的注册用户功能，查找更多的教师账号（知道账号规律或知道教师姓名即可做到），并拉取到课程A 内，身份是学生。再使用列出/ 修改用户，修改这些教师的密码。这样，该黑客将获得更多的教师账号。虽然在课程A 内这些教师都是学生角色，但在自己教授的课程里都是具有对该课程管理的权限的，如黑客使用这些账号登陆到不同的课程BCDEF ……那么出入Bb 课程如无人之地，并且，教师账号控制面板内置了“手册”。简单的阅读后，掌握控制面板各命令的功能后，就可能一个简单的“循环使用课程”命令，一两分钟，删除所有的内容区、交流区。

不论是在中国，还是在国外，相信很多使用Bb 的教师，都像我一样，把课程当作自己的孩子一样。由于别的老师账号被盗导致我自己多年来积累的课程武功全废的话，这打击我一定是受不了的。如一个学校有10 门以上课程遭到黑手，该校网络辅助教学即刻会瘫痪，难以想象的数据恢复或课程重建带来的后果和损失堪比商业网站遭到入侵，甚至更为严重。

建议：

教师朋友：

1 、定期在控制面板执行“将课程存档”命令，并最好能下载到自己的办公电脑上

2. 将自己的登陆口令修改成大写字母+ 小写字母+ 空格，长度在10 字符以上

管理员朋友：

1 、做好安装Bb 的服务器的备份工作，以防各种灾难性时间发生；

2 、在官方没有发布此隐患安全补丁之前，取消教师账户的注册用户功能，使教师账户不具备拉入不属于本课程用户账号的功能；

3 、强化安全管理，所有师生需要查询或重置口令，均需持身份证件找管理员（院系管理员）办理,并加强宣传及提倡电子邮件自助找回密码功能。

赛尔毕博公司：

如果管理员老师去掉这个功能，一是不方便教师使用，二同时也增加了本已工作任务繁重的管理员老师的工作量（很多管理员和我们学校一样，都是兼管几个平台，用户数多的学校，每天都有师生来重置密码，还是很郁闷的）。

故建议开发密码修改权限的补丁，并及时发送到各个院校。建议此补丁能设置成

1 、助教和教师不能相互修改任何一门课程教师（助教/ 评分者/观察员）身份账号密码。

2 、教师通过注册用户功能拉入别的教师账号或学生账号，需对方账号同意，类似QQ 软件的验证过程。