V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  MiKing233  ›  全部回复第 1 页 / 共 10 页
回复总数  190
1  2  3  4  5  6  7  8  9  10  
6 天前
回复了 mpco 创建的主题 NAS 自组 AI NAS 硬件配置求助,过年没事来聊聊吧
别折腾了洗洗睡吧, 赶上好时代了
搞了个封建迷信网站? 只是域名被 GFW DNS 污染算轻了的吧? 你这种去备案不相当于投案直接被社区送温暖啊
22 天前
回复了 hqt1021 创建的主题 NAS 理性讨论 没有绝对安全的系统
@mrabit 公关开始发力了, 还都是拿群晖做对比, 看到好几个差不多文案的
丢内网用别开 FNConnect, 别把端口暴露在公网就行, 想在外面用自己配好 VPN 连回来内网访问就行, 就算后面还有没发现的漏洞这样用也是安全的, 再不放心直接禁掉飞牛的互联网访问, 只允许内网地址通讯, 要系统更新的时候开放一下
23 天前
回复了 EyebrowsWhite 创建的主题 信息安全 飞牛的影响面比想象的大很多
@adminpro 很难想象 v 站也有你这样的人, 不知道的还以为微信公众号的精选评论
国产的输入法/浏览器/即时通讯这些有监控不是人尽皆知吗? 不然老大哥怎么看你在说什么在看什么? 怎么保护你呢
这个 bug 至少在 0.9.2 上就存在了, 这个 release 是 25 年 6 月的, 也就是说最起码存在半年以上了, 然后最早是去年 12 月有人在公开渠道(飞牛论坛)报告了这个漏洞, 但仍然未能得到重视, 责任在谁认知没问题的都能看清楚
跟公网暴不暴露有什么关系我请问? 走 FNConnect 也算公网暴露出去吗? 国产 NAS 像绿联极空间全部都自带外网访问不需要你有公网 IP, 为什么人家没出问题? 本质上不是系统漏洞造成的吗? 是蠢还是坏我真求你们这帮人了能不能别给飞牛在这边洗了?
限时偷窥即将结束, 飞牛贴心短信提醒
@wonderfulcxm 我刚测过 OS 1.1.18 到 TV 1.1.6 没问题, 电视是 Android TV
26 天前
回复了 Tink 创建的主题 信息安全 飞牛这个漏洞 POC 太容易了啊
@flyqie 以及漏洞被大规模利用已经过去超过了一天一夜, 我不知道他们公司的老板和法人是怎么睡得着觉的
26 天前
回复了 Tink 创建的主题 信息安全 飞牛这个漏洞 POC 太容易了啊
@flyqie 说做不了是不可能的, 哪怕临时停止解析 5ddd.com 这种 FN Connect 域名也可以尽可能减少漏洞利用范围, 我真没看明白他们除了在论坛发帖忽悠小白之外究竟还采取了哪些主动的安全挽救措施
@hongye 嗯嗯, 这次事件后大家会看清用脚投票的, 看看后面 FN Connect 和硬件卖给谁
@iomect 坦白讲无论他们是否承认大规模资料泄露已经确认发生, 付费和商用 license 用户肯定是要赔付的这点毋庸置疑如果这都想靠不承认来逃单这家公司没有继续存在下去的必要;

对于免费使用的个人用户, 赔钱肯定是谈不上的, 大家生气的点是官方对此次事件处理的态度, 在去年这个漏洞就已经有人反馈, 如果他们真的在乎安全也不会落到今天这个下场, 他们不是没有机会, 现状完全是这家公司完全不 care 安全所造成的, 讽刺的是他们还一直自诩安全以此为荣, 官网的 slogan:"存数据用飞牛, 高效又*安全*"

并且在事件最终演变为大规模事件后公关也是灾难级别的, 系统当然是不可能没有漏洞的, 但漏洞可以原谅隐瞒不能, 他们最初竟然用 http 明文访问和中间人攻击来将责任撇到 user 自己身上, 我完全看不出这是一家想要认真做产品公司的态度, 责任和担当
最后给飞牛 fnOS 的厂商"广州铁刃智造技术有限公司"送三面赛博锦旗:

《不遵守安全披露规范的厂商》
《不适合关键数据存储的系统》
《不可信任的基础设施提供方》
就官方这种处理重大安全事故的态度这系统后面还有谁敢用, 公告通篇看不出一点对用户数据负责任的态度, 轻飘飘一句公网环境下异常访问风险, 通篇没提漏洞造成的严重后果, 以及自身的 FN Connect 服务同样会导致数据全部泄露, 目前漏洞已被大范围滥用, 官方仍不愿告知用户影响程度和范围, 就这样的公司还所谓把安全稳定的 NAS 系统作为公司"*生存之本*", 所谓创始团队都是"*NAS 发烧友*", 你们的系统自己真的敢用吗?
@thereone 你要不听听自己在说什么? 按你这逻辑发生任何因厂商自身配置错误或是漏洞导致的安全事件, 都怪用户自己联网了? 你自己有公网配置端口转发需要为你自己的安全负责, 但我请问用厂商 OS 上自带的网路服务一样出问题, 最后还是怪用户自己? 这服务不少人还是付费使用的, 意思大家花钱开门找打? 你到底搞清楚问题没有?
@thereone #88 你这种指责毫无根据, 系统的漏洞怎么就怪上用户了, 按你这么说用户没有公网 IP 没有端口转发, 用飞牛官方的 FN Connect 一样被漏洞利用, 你怎么解释呢请问?
@Lentin #8 他说的是 Nginx 的 auth_basic, 这个确实有用, 因为漏洞本质上是要能访问你的 Web 登入界面, 加了 Nginx 那一层 auth_basic 认证没过的话登入界面都打不开, 自然无法利用这个漏洞, 但大部分人是不会再套一个 Nginx 的, 就算是这样用官方的 FN Connect 也是只要知道你 ID 就能直接访问你的登入界面, 一样会被利用
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   6076 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 56ms · UTC 06:11 · PVG 14:11 · LAX 22:11 · JFK 01:11
♥ Do have faith in what you're doing.