V2EX › pingdog 的所有回复 › 第 3 页 / 共 49 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 49

❮

❯

2 月 5 日

回复了 qianlongzt 创建的主题 › NAS › 飞牛登录 token 生成逻辑安全问题，并且尽快更新 rsa private key

所有服务 rootless 才是真。要 root 也应该用 sudo 限制 command
这 chown root, chmod 600… 它校验 token ，要载入私钥…

搭脚手架时未考虑，后期引入/修改安全机制几乎和重构区别不大

2 月 4 日

回复了 hqt1021 创建的主题 › NAS › 理性讨论没有绝对安全的系统

硬是要分个高低的建议全面阅读这两个帖子，开始大家讨论的并不是系统应不应该有漏洞，而是公众报告漏洞后厂商的响应。当厂商宣告采取措施后，v2ex 这种类比贴至少一天会有一篇，不知道为什么

“
v2ex 最开始是从这个感谢帖开始讨论他们的处理手法和漏洞猜测 /t/1189392
其后有人分享从飞牛论坛得到的更多详情 /t/1189672
”

2 月 4 日

回复了 hqt1021 创建的主题 › NAS › 理性讨论没有绝对安全的系统

@a9htdkbv 12# 低权限用户登入后，没法启动 telnetd 等于 0 危害，telnet 是 client ，telnetd 是 server

btw kernel 也有众多权限提升的漏洞，黑进来了，已经提升权限了，还去另外开一个 telnetd ？然后再重新用这个 telnet 漏洞进来？不如直接种后门了。。

2 月 4 日

回复了 yang0327519 创建的主题 › 教育 › AI 都那么强了，传统的学校教育价值是不是大打折扣？

LLM 做教学？任重道远。LLM 受训练数据和交流投毒的影响，会指鹿为马，当你固化它的答案，LLM 优势甚微

2 月 3 日

回复了 LnTrx 创建的主题 › 信息安全 › 在路径穿越漏洞的基础上，可能通过 swapfile 泄露明文密码

既然你开始了测试，麻烦帮我试下 zram 会吗，谢谢🌚

2 月 2 日

回复了 yGin 创建的主题 › 信息安全 › 在厂家之外，我们该如何保护我们自己的设备。

世上无绝对，VPN server 也会有漏洞，强如 Checkpoint, palo alto, fortigate 这些顶尖厂商的 VPN server 都曾经暴露过高风险的漏洞，基本很快就发布缓解方法，其后推出补丁
适当跟上更新就行了，条件允许每月更新一次，不允许也要每 3 月更新一次，长期不更新是互联网上的大忌，虽然新版引入了更多 bug ，但自己未达到可以写 patch 去修补的境界，没什么好办法。。

2 月 2 日

回复了 mrliule 创建的主题 › NAS › 飞牛明显中招的人为什么还在试图升级系统“修补”漏洞？

@mrliule 有远见的团队，都是迅速修复并发布公告，即使有数十人讨论过的方案，永远绝对不会是 100%考虑到所有角度。

他大可以说完整修复方案需要讨论，先发布缓解方案并通知用户，迟几天发布修复补丁都无可厚非，这个首先直接误导用户更是大开眼界了。。

有一定工作经验的开发，或多或少都有被安全团队强制要求修复漏洞的经历，间接提高了开发时的各方面考虑。当然，也有分工明确的项目，有单独的 security team 为代码打安全补丁也合理

2 月 2 日

回复了 mrliule 创建的主题 › NAS › 飞牛明显中招的人为什么还在试图升级系统“修补”漏洞？

@mrliule 从这次事故开始，质疑他们处理方式的已经被打上 tag “境外势力” “友商”

v2ex 最开始是从这个感谢帖开始讨论他们的处理手法和漏洞猜测 /t/1189392
其后有人分享从飞牛论坛得到的更多详情 /t/1189672

后面就是 PoC 满天飞了

2 月 2 日

回复了 mrliule 创建的主题 › NAS › 飞牛明显中招的人为什么还在试图升级系统“修补”漏洞？

你不能和一个处处为你好的人讲道理。

2 月 1 日

回复了 tmtstudio 创建的主题 › NAS › 逃离飞牛，大佬们有没有数据迁移方案

不开机？直接 u 盘启动 live ，连硬盘都帮你挂载好了

2 月 1 日

回复了 jadeity 创建的主题 › 问与答 › 一个密码管理的方法，请问安全性如何？

密文不是雪崩准则，那它不是一个现代的算法

2 月 1 日

回复了 ucaime 创建的主题 › NAS › 飞牛 NAS 的信任危机， 0Day 漏洞导致用户 NAS 及网盘文件全面泄露，官方装死

@coolair 你好，参照 QVOD 案的判决先例，是的。

2 月 1 日

回复了 Ja22 创建的主题 › 信息安全 › fnos 为什么不直接禁止版本<=1.1.18 的用户用他家穿透，那么多付费用户怎么办？

看了一圈，还未承认自带穿透有漏洞，都是用户自己将 http 映射到公网而受到攻击

2 月 1 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 fnOS 发布重要安全更新通知，并提醒用户更新至 1.1.18 最新版本

@yGin 看了一些讨论，FN connect 估计也是某种类似 nginx proxy 的做底层，运营方只要在这个 proxy 前加个 WAF 阻止特征流量进入用户侧即可，他不关闭也不加固，令人费解

2 月 1 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 fnOS 发布重要安全更新通知，并提醒用户更新至 1.1.18 最新版本

从这个回复的飞牛论坛截图，以及主帖感谢飞牛提到的工作人员处理方式，推测飞牛的员工一直在关注入侵后的行为，而不是入侵的手段
关键的下载恶意脚本的日志，还是用户在飞牛论坛中披露，常规的排查问题都从日志/debug 开始，看见这种日志都未重点关注这个进程的行为并安排紧急补丁
https://v2ex.com/t/1189392?p=1#r_17272286

属于常见的反馈处理方法罢了，例如前几天看到的备案接入问题 /t/1189197

碰到偶发性问题不认真回放，将锅先甩出去，飞牛也不是几个人的开发团队了，你说始终没员工先看出问题吗？不会，只是不主动说罢了

1 月 31 日

回复了 yoa1q7y 创建的主题 › React › 除了 next.js，在 2026 年，还有哪些 React 全栈框架推荐？

@dassh nextjs self hosted 都有点坑，在 vercel 就跑得好好的，生态绑架没办法

1 月 31 日

回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队

@patrickyoung 行动力 max 。属于强行提高飞牛的技术能力了🌚

和我推测的差不多，https://v2ex.com/t/1189672?p=1#r_17274769

不过提醒一下。。针对国产软件公司无预警就发布 PoC ，有点风险。适当时候注意保护自己。

1 2 3 4 5 6 7 8 9 10 ... 49

❮

❯