NSW教育部门的IT系统简直就是垃圾

zhaogod

游山恋 发表于 2021-7-21 14:53
你睁大眼睛看看吧，看看你提到的两个系统的密码找回功能吧，都是通过邮箱找回

再看看教育部的，是啥？us ...

我的天啊，我发现你中文是有问题啊，你不是一直在说用户名找回吗，现在你又给我说密码找回？？？密码找回需要邮箱，不正是说明了你需要先有用户名吗（邮箱即用户名）？

专业人员，你知道用户名找回和密码找回是不一样的吧？

Forgot password 和Forgot username是两个不同功能，中文和英文拼写也不一样。
。

游山恋

limyae2009 发表于 2021-7-21 15:01
楼主，这个功能是给老师和Principal用的

谢谢提醒

但这就更扯了，更加证明我之前的观点，把一切责任都丢给学校了。这其实还有一个巨大的漏洞，学校有什么机制保证打电话给他们的就是孩子的父母呢？层主相信吗，我给公校打电话说要重置孩子的密码，百分百的接电话工作人员不会详细核实我的身份，请问这样的安全性，敏感性何在？

limyae2009

游山恋 发表于 2021-7-21 15:05
谢谢提醒

但这就更扯了，更加证明我之前的观点，把一切责任都丢给学校了。这其实还有一个巨大的漏洞，学 ...

如果老师不核实电话人的信息就把18岁以下学生的信息透露出去，这个就是失职。每个NSW的老师、校长都会经过这方面的培训，不管是私校还是公校，否则拿不到working with children的执照


至于IT方面的问题，我还是留给IT版的2大神：狐狸和悉尼麦迪来回答吧：）

游山恋

zhaogod 发表于 2021-7-21 15:04
我的天啊，我发现你中文是有问题啊，你不是一直在说用户名找回吗，现在你又给我说密码找回？？？密码找回 ...

我的天啊，你再去edu网站上看看能找回密码吗？这个功能能使用吗？

你的逻辑有巨大问题啊，我之前说EDU系统残疾没有找回用户名的功能，这是因为它使用的登录方式是user ID，你懂user ID是什么意思吗？像stackoverflow和github，乃至于其他大部分网站，都是使用邮箱登录，所以功能上只需要找回密码就可以了，你点重置密码，填入自己的邮箱就行了。这样设计的网站，自然不需要找回用户名的功能

反观EDU系统，使用user ID登录，你即使知道登录邮箱，也不知道user ID，所以从功能上讲需要找回用户名这个选项，因为user ID不等于邮箱，但是它没有，甚至它forgot password的功能都不能使用，不信你自己去试试，最后一切的一切都需要去联系学校，给学校增加了巨大的麻烦

你可以继续杠

游山恋

limyae2009 发表于 2021-7-21 15:10
如果老师不核实电话人的信息就把18岁以下学生的信息透露出去，这个就是失职。每个NSW的老师、校长都会经 ...

层主可以试试给学校打个电话试试，再者，请问学校如何核实电话人的信息？熟悉孩子和家长的其他人完全可以说出孩子和家长的任何信息，如何鉴别？依我看，这样再怎么培训都没用啊，因为这就是天然的缺陷

很多东西说的冠冕堂皇都是没用的，需要贴近实际

老婆是CPA

楼主什么学校 是学校IT的问题 我觉得是个例 周二开学 周一学校都设置好然后发邮件家长了

jayhor

来点硬知识吧，不是政府员工， 只是学生家长。

mxtoolbox 显示@education.nsw.gov.au email用的是Google Apps for work，不是Office 365。

但是在Sudent portal https://portal.det.nsw.edu.au/ 登录后，可以同时用Microsoft 和 Google的东西，例如Teams, 而且还可以有Office的license, A 类的license(M365 academy)。而且还是SSO，个人猜测应该是Azure AD (AAD) intergrate with Google Cloud, 大概应该是这样吧，https://docs.microsoft.com/en-us ... oogle-apps-tutorial，https://cloud.google.com/archite ... -and-single-sign-on

而且Sudent portal https://portal.det.nsw.edu.au/ 应该是一个IDP ferderation，有可能是public IDP或者private IDP.

虽然说deparment of edu 上两星期刚被hacker攻击，但是个人感觉这个系统还是很安全的。能够被攻击对黑客才是有挑战性的。黑客不会攻击中小企业的，没意思没挑战性。

如果port scan 他们这个IDP https://sso.det.nsw.edu.au/sso/X ... .nsw.edu.au/#login/， 很多port都是close的。

能够跨越两大公有云 Microsoft 和 Google 而且SSO，（Zoom也应该是Azure 的SSO的）。不提供forget Username or forget password 很正常。要提供forget这些选项，第一需要有MFA或者token就是手机authentication app, 第二就是security questions. 但是全州那么多学生都是用education.nsw.gov.au，都是kindy开始建立账号的。如果需要这些步骤，那么每个新州学校在建立学生账号的时候，都要求每个家长完成这些步骤，设置MFA设置security questions之类的。很明显行政上实现不了可行性，有些家长电脑都不会用呢，而且孩子又小，全州实现太难了。

所以，reset password还是分配到每个学校每个班老师的任务上，老师知道同学知道家长。

州和联邦政府部门安全性是第一位的，VPN都是没有的，firewall不会直接listen to internet, work from home 都是用 DaaS 或者SaaS。staff account都是mfa，auth app， IT 都是要PAM的（privileged access management），不像企业随便哪个IT admin都可以是global admin的。

游山恋

老婆是CPA 发表于 2021-7-21 15:17
楼主什么学校 是学校IT的问题 我觉得是个例 周二开学 周一学校都设置好然后发邮件家长了 ...

公立学校哪里有什么IT啊。。。

老婆是CPA

游山恋 发表于 2021-7-21 15:18
公立学校哪里有什么IT啊。。。

看楼上的 其它我不懂了 这个我还是 觉得是设置的人的问题 不是系统的问题 如果他们不让找回用户名 肯定有原因的

换句话说 所有整个学校都不能用了吗

游山恋

jayhor 发表于 2021-7-21 15:18
来点硬知识吧，不是政府员工， 只是学生家长。

mxtoolbox 显示@education.nsw.gov.au email用的是Google A ...

谢谢交流分享

我依然觉得把重置password的任务offload到学校老师头上是不合理的，很多老师自己都搞不清楚登录系统，公立学校也没有人专职负责这个事情。作为家长，再创立账户的时候就应该有知情权，教育系统可以采用纸质邮件的方式发送给家长，或者手机邮箱的方式都可以，但是我作为家长，对此一无所知。这些事情也不是学校该做的，因为学校不是edu system的service owner，也不直接创立账户，这一套流程就完全错了，根本不能适应现在的网络教学

BTW，我没有在州政府部门工作过，我觉得cloud based solution本来就是不安全的，举例来说，AWS里面的那些个security group，network acl等等来做接入控制是非常不科学的，也就IAM授权值得一提。需要安全性，firewall directly listen to Internet是必须的，而且需要七层应用防火墙比如Palo Alto，VPN也是必须的，VPN登录采用密码和MFA双重认证

游山恋

老婆是CPA 发表于 2021-7-21 15:22
看楼上的 其它我不懂了 这个我还是 觉得是设置的人的问题 不是系统的问题 如果他们不让找回用户名 肯定有 ...

创建账户的应该是教育部门，学校只是第三方

Falye

xiangjia 发表于 2021-7-21 10:36
同感，要吐槽都无力。
关于网课，我们也给学校提意见，说能不能上一下zoom让孩子能够交流提问题问老师。有 ...

我们也是每天发作业 做作业 没有zoom meeting 不过有问题class dojo上发消息给老师 老师秒回 公立学校 我觉得这样挺好的 父母了解孩子掌握哪些知识 没掌握哪些知识 孩子接触电子产品时间段 保护眼睛

cwb1000

游山恋 发表于 2021-7-21 13:28
Reading用的是完全不同的账号，没人告诉我们孩子拥有一个nsw edu的邮箱，平时沟通都是发家长的私人邮箱。 ...

消气消气，找回密码也没用啊，因为不是你注册的用户名啊

fantom

澳洲IT本来就这样子，何况大锅饭铁饭碗的地方

evereve

澳洲哪个政府部门的IT系统不垃圾，请举例说明。

jayhor

游山恋 发表于 2021-7-21 15:30
谢谢交流分享

我依然觉得把重置password的任务offload到学校老师头上是不合理的，很多老师自己都搞不清 ...

Palo Alto 的VPN叫global vpn吧，已经很好了，但是listen to internet不是必须的。需要实现vpn的功能，在我上面的帖子有说了，可以有DaaS(Desktop as a Service), AWS的DaaS是workspace. 或者SaaS(Software as a Service), Azure的就是remote app，AWS的就是App Stream.

还有MFA，现在的MFA不只是登录email才MFA，可以做到连接global VPN就mfa，sign in Windows就mfa，例如Cisco 2FA, 或者Duo。

游山恋

jayhor 发表于 2021-7-21 17:09
Palo Alto 的VPN叫global vpn吧，已经很好了，但是listen to internet不是必须的。需要实现vpn的功能，在 ...

叫做global protect，简单点可以直接把VPN功能集成到internet防火墙上，复杂点可以有专门有一个防火墙做VPN，这样就不用直接attach到internet上，而是通过internet防火墙连接

Global Protect输入用户名密码就直接进入MFA手机推送

devisa

就问问老师户名和密码就解决的事啊。宁愿多点儿事，也要防止户名密码外泄阿。
现在各种OTP/vpn/SSO,也不就为了网路安全吗？

Forthistime88

好乖

李十三

IT 高手可以Hack掉这个垃圾系统改密码吗？或者绕过密码验证？

moonhope

DET Portal - NSW Department of Educationhttps://portal.det.nsw.edu.au
这里的密码是可以改的。前提是你知道分配给你的用户名和初始密码，曾经进入系统，设置过安全问题或者通过edu的email修改。我们家小朋友就自己改过密码。
如果连孩子的用户名和初始密码都不知道，请问怎么用这些功能？换做任何成年人，如果公司分配的用户名和密码都不记得，怎么用公司任何系统？
即便是gmail，我不记得我的邮箱了？google也没有帮我找回“邮箱地址”的功能啊？！我不记得我足迹用户名了，足迹有帮我找回用户名的功能吗？

rong609609609

低年级家长的确很抓狂， 特别是没有Google account的家长或者是电脑小白。 我也不知道怎么进，小儿子上课 用的老大的Google account进去的。

david72s

什么学校？一年级可以用zoom上课了？我家都二年级了，没听说有DET的用户名或邮箱。记得老大大概四五年级的时候才开始上Google classroom。不过楼主息怒啦，我听说有的top精英男校都不安排zoom上课

Siva

看了这么多页，可能楼主的观点是教育局做了这个edu邮箱就该同时做家长的客服。
后面回复的大多数家长的观点是这个用户名根本不是学生或者家长自己去申请的，而是学校负责分配，密码也是随机给的。只是由于这个突发的lockdown,学校没有足够的准备时间跟家长沟通交流，导致低年级的家长手忙脚乱。学校里也没有足够的师资立刻解决。
我有个侄女，他们学校四年级开始使用笔记本电脑辅助教学，每次登陆和交流都用到这个账号信息。平时也不是当作一个电子邮箱使用，就是相应的账号有权限使用学校统一管理的资源和软件。五年级换电脑的时候她忘记怎么使用这个账号密码了，也是学校老师帮忙写个便条记下来。现在初中了，这些信息完全是她自己管理，家长从来不用过目的。网课要做什么作业她直接跟老师交流，怎样开会在学校里面已经练习过了。
我觉得这个账号开始设计的真的没有给家长任何权限，就是给老师管理的。如果没有遇到在家上网课这种突发事件，老师平时会指导学生怎么用，家长不会接触到相关信息

rong609609609

Siva 发表于 2021-7-21 21:19
看了这么多页，可能楼主的观点是教育局做了这个edu邮箱就该同时做家长的客服。
后面回复的大多数家长的观点 ...

对对 总结的很全面， 低年级学校压根就没有说清楚Google账号是什么。 但是老师又需要时不时和学生Zoom保持联系。 低年级小孩电脑前老师讲话基本没反应的都傻乎乎的看着。 完全没有互动。 老师也尝试跟平时一样给孩子读书， 见没人理她， 随便唠了一会就结束了， 效果超级差。

华丽转身

bats

这个账号应该不是家长应该用的，是学生自己用的。本来也没考虑到远程教学
低年级应该是学校完全take ownership，高年级学生自己管理，学校Admin

dickson

如果你知道教育部的IT公务员

kurai_dai

moonhope 发表于 2021-7-21 14:00
这位家长息怒。
我估计他就是这样设计的，因为这个账号并不是你自己申请的，也不允许你自己改密码。学校和 ...

同意, 这个设计就是不许通过这些容易得到的信息来修改密码, 封闭系统