话说,我在公司门口的指纹机上有两个身份。
分别是x号员工xxx和xyy号员工yyy。
字面上看,Y是我自己,x不知道是谁。
按下指纹之前我不知道我是x还是y,然而按下去之后,如果我不看的话,八成就迟到了。
所以我一般打两次卡。
为什么会有这种神奇现象呢?
我也说不太清楚了,但是有一点可以肯定,这台指纹机内肯定是存储了我的两组指纹。
以前我们在另外一台指纹机上打卡,后来换了指纹机,所有人重新录入,但是那个时候我在出差,所以就错过了。
出差回来,有一天我也不知怎么的,瞎点瞎按,自己进入新指纹机的录指纹功能界面,自助完成了一次指纹录制,但是指纹机的逻辑很奇怪,它没有叫我创建用户,而是让我选了一个用户……
后来我也不记得是重新录了一回,还是有人把原指纹机的数据给同步到新指纹机里了,总之最后结果就是我在一台指纹机里拥有了两个用户身份。
在我们一般人看来,显然指纹应该能对应唯一的一个账号,但是事情并没有这么简单。
我们都知道通常录指纹会让我们多录几次,甚至让我们换手录,换句话说指纹机的逻辑是给一个用户存储多个指纹,这些指纹有的是同一个指头的不同版本,有些甚至可能是多个指头。既然可以一对多,那么显然也可以多对一,第二次录入时你选另外一个用户,自然也就帮他加了一个指纹,假如说录入的时候他要校验的话,他就等于杜绝了换手的情况,这无疑给人们带来了麻烦,另外,即使他原本就不支持换手而只是支持多次录入完善同一个指纹,那严格校验也等于杜绝了多次录入完善一个指纹的可能,总之他不能拒绝多次录入。
结果就是录的时候多对多,识别的时候也多对多。
这算漏洞吗?
可能真正的漏洞是我那天在没有密码的情况下胡乱进入了录制界面吧?
怎么回事来着?
好像是启动过程中,我把那玩意给按出翔来了……