您的当前位置:首页 > 探索 > 外围小姐上门微信kx6868169QQ34645637 正文
时间:2024-12-23 04:49:50 来源:网络整理 编辑:探索
外围小姐上门微信kx6868169QQ34645637电话15377704975
华硕:华硕路由器的重证书台州市什么地方有少妇白领特殊 电话-15377704975 微信kx6868169TG@YY6868169QQ34645637 DDNS 相关功能也需要使用域名,用户可以上传自定义证书或者也申请 Let’s Encrypt 的大安免费证书。这种产品本来就存储着用户私密的全缺数据,
更新:附绿联私有云团队官方回应
您好,陷竟泄露(更新说明:不一定是和私绿联申请吊销的,
但即便是钥公用户没有影响到正式版用户,
NAS 是私密数据台州市什么地方有少妇白领特殊 电话-15377704975 微信kx6868169TG@YY6868169QQ34645637网络附加存储的缩写,对正式用户不会有任何影响。更新不过私钥暴露的绿联蓝点问题是真实存在的,因为他们竟然将 TLS 证书和私钥全部提供给用户公开下载。重证书
关于上述回应蓝点网的大安看法:
好消息是这算是测试版中的“BUG”至少没有影响到正式版用户,从本次事件中可以看出来绿联 NAS 团队连最基本的全缺网络安全常识都没有,重新设计类似的陷竟泄露功能。不过产品固件问题好歹不至于让用户暴露在风险中,实际上有了证书和私钥后任何人都可以部署恶意服务器进行劫持,但没想到绿联 NAS 在安全领域也是草台班子。同时还将广大绿联 NAS 用户也全部暴露在风险中。这种服务确实应该提供,将自己通过正规 CA 机构申请的证书和私钥暴露给用户,即 7 月 1 日),所以绿联接下来还需要对整个公网访问进行改造,也就是这个问题其实会影响到使用测试版的用户。因为私钥泄露其他用户也可以联系CA机构申请吊销),作为对比我们举例群晖 NAS 和华硕路由器:
群晖:群晖 NAS 也同样提供绑定域名和 HTTPS 加密功能,结果客服对这个问题似乎完全不懂,
哔哩哔哩 UP 主 @某摆烂闲鱼 发布视频显示,
👇下图:可以在绿联 NAS 控制面板下载证书
👇下图:可以看到证书有效并且还附带 PEM 私钥
👇下图:这份证书也附带私钥,
而绿联的做法就属于连最基本的网络安全常识都没有,不知道暴露了多久
绿联提供这些域名的通配符证书原本目的应该是方便用户自定义绿联 NAS 的公网访问域名并提供 HTTPS 加密服务,
感谢蓝点网网友 shellwen 分享的消息
但华硕不会向用户提供任何证书,#安全资讯 绿联 NAS 出现重大安全缺陷:竟然把私有云 TLS 证书和私钥全部公开,起初 @某摆烂闲鱼 是希望通过绿联 NAS 官方客服反馈该问题的 (反馈时间为本周一、要么是不合格的,
以上两家厂商的做法目前也是行业比较通行的做法,把正规 TLS 证书私钥公布出来也是个非常没有安全常识的做法。将大量用户和私密数据暴露在风险中。但至少也得把用户提交的反馈转发给产品或技术团队,也不会用到这个证书和私钥,要么放弃 HTTPS 加密倒是可以继续访问,
TLS 证书最重要的东西就是私钥,国内时间为当日 13:32),我们已定位到该问题属于体验账号,客服不懂也没关系,这已经不是一个合格的 NAS 产品。或者大家都称之为私有云,既可以让用户通过 HTTPS 访问进行安全加密,显然客服应该也没这么做。因为这是个安全缺陷而非安全漏洞,又不需要厂商自己提供可以广泛兼容的证书 (自签名证书不算)。
然而绿联 NAS 产品固件的公网访问就是这么设计的,其次用户可以申请 Let’s Encrypt 的免费证书亦或者上传自己从其他 CA 证书颁发机构申请的有效证书。查看全文:https://ourl.co/104826
此前绿联 NAS 新品因为太多 BUG 曾引起大量讨论,相关证书才被绿联申请吊销,绿联的这种安全实践给用户带来风险,
👇下图:把绿联 NAS 证书导入服务器进行中间人劫持测试
👇下图:可以看到指向 UP 主自己服务器的测试有效
绿联的出发点可能是好的但完全没有最基础的安全意识,证书吊销后接下来用户将无法正常通过公网访问,这样可以让用户在公网中访问 NAS 保存的文件。绿联 NAS 私有云团队非常重视并以力求保障用户数据安全,绿联 NAS 在其系统控制面板中向用户提供 *.ugnas.cloud 和 *.ugnas.com 两个域名的通配符证书。
👇下图:7 月 1 日就提交了反馈但没有获得回应 注:反馈安全问题绿联应当向 UP 提供奖金
直到这名 UP 视频发出两天后,不仅给自己带来安全风险,到 2024 年 7 月 5 日 05:32 (UTC+0,所以吊销证书后其实风险点就已经被封堵了,可能导致用户被中间人劫持从而窃取账号密码并引起 NAS 中的数据泄露。正式用户设备上没有这个证书,感谢您对绿联 NAS 私有云的支持。至少这个问题接下来不会再引发更大的安全问题。我们已经吊销该体验账号的证书。但群晖向用户提供的是自签名证书并且没有私钥,
然而不得不说绿联 NAS 产品团队中负责安全方面的工程师要么是没有、例如黑客可以对绿联 NAS 用户发起 MiTM 中间人攻击用来窃取账号和密码等敏感数据。
https://shww1.blogspot.com/2024/12/blog-post_60.html2024-12-23 03:57
全力研发AI服务器:苹果搁浅M4 Extreme开发2024-12-23 03:39
小米Civi 5 Pro曝光:直立长焦徕卡加持2024-12-23 03:31
iPhone 17外观曝光:或将采用横置摄像头排布2024-12-23 03:05
只靠百度还是不行?传苹果与腾讯和字节洽谈将其AI模型集成到iPhone中 – 蓝点网2024-12-23 02:40
质感满满,对标坦克300!北京BJ30即将亮相2024-12-23 02:29
TGA 2024颁奖结束,《黑神话:悟空》落选大奖,网友吐槽满天飞2024-12-23 02:23
苹果静安店开业,库克亲临!现场合影签名,人太多了2024-12-23 02:15
https://shww1.blogspot.com/2024/12/blog-post_60.html 2024-12-23 02:14
直播间灯光的更好选择,神牛于IEAE展出直播解决方案2024-12-23 02:10
https://shww1.blogspot.com/2024/12/blog-post_88.html2024-12-23 04:48
秒懂海量方言的生活管家:奥克斯奥知音II空调套装亮相AWE2024-12-23 04:07
LPDDR6内存标准即将公布:速率破12G,骁龙8 Gen4大概率首发2024-12-23 03:55
秒懂海量方言的生活管家:奥克斯奥知音II空调套装亮相AWE2024-12-23 03:39
小米YU7无伪装测试谍照曝光,已开启大规模路测2024-12-23 03:19
暴雪国服回归稳了?或将在一个月内官宣,由网易雷火负责营销2024-12-23 03:07
全是草台班子:经销商因为名字太接近错发英特尔显卡2024-12-23 03:01
为AIGC带来强大算力:英特尔至强W系列处理器助力行业创意与设计2024-12-23 02:38
https://sites.google.com/view/waiweishangmen2024-12-23 02:15
小米Civi 5 Pro曝光:直立长焦徕卡加持2024-12-23 02:12
