 |
KirkcongV2EX 第 1613 号会员,加入于 2010-09-09 14:42:11 +08:00今日活跃度排名 2422 |
kirkcong
| fnos 的漏洞如何防范? 问与答 • Kirkcong • 6 天前 • 最后回复来自 cctv6 | 3 |
| 貌似 windows 越来越不注重用户体验了?(重开) 问与答 • Kirkcong • 1 月 30 日 • 最后回复来自 LuJyKa | 37 |
| 如果有多个机器需要安装 cert(10 台+),有什么好的分发办法吗? 问与答 • Kirkcong • 2025 年 12 月 23 日 • 最后回复来自 2067 | 2 |
| 有哪些方法可以找到一个人?(避免被找到) 问与答 • Kirkcong • 2025 年 7 月 24 日 • 最后回复来自 Kirkcong | 46 |
| 主观臆断、先入为主是真的累 互联网 • Kirkcong • 2025 年 9 月 30 日 • 最后回复来自 VXF2016 | 59 |
| 想整个半闪 nas,硬盘怎么选? NAS • Kirkcong • 2025 年 7 月 16 日 • 最后回复来自 Rendex | 57 |
| 看到最近有好几位想着做共享资源、共享 NAS,回复时无意间写了首打油诗。。。 问与答 • Kirkcong • 2025 年 6 月 13 日 |
| 懂球帝招聘:入职转正就发至少 100w 期权,薪水没上限
3 酷工作 • Kirkcong • 2017 年 6 月 21 日 • 最后回复来自 mune
|
82 |
Kirkcong 最近回复了
10 小时 58 分钟前 回复了 liuidetmks 创建的主题 › NAS › 你们都在说飞牛,但是也没看网上爆个艳照啥的,是否说明实际漏洞影响没那么大? |
@zhj9709 bitwarden 导出密码的时候可以选择不加密,用户自己决定的。而且 bitwarden 大概率是部署在 nas 的,即便用户导出了加密的 json ,攻击者可以直接抓包获取到密码。
1 天前 回复了 jefferyJQ 创建的主题 › 奇思妙想 › 有没有一种“把私钥关进时间胶囊”的工具?想物理强制自己 HODL |
@Kirkcong #33 当然,这个前提是你的 enclaves 不可以关机,必须一直跑着,否则 key 丢失。aws 可以保证这一点,但是你要承担 ec2 的价格,不是很贵,但也确实得一直跑着。
1 天前 回复了 jefferyJQ 创建的主题 › 奇思妙想 › 有没有一种“把私钥关进时间胶囊”的工具?想物理强制自己 HODL |
@jefferyJQ #10 你想要的应该是某个必须花费一定时长的物理限制,类似于 bit 币那样,必须要花费这么多时间。有是有,能实现你说的这种方式,但是稳定性有问题。
https://github.com/rayanamal/timelock
上面这个就是物理限制,依靠 cpu 计算一定次数来加密解密。但是不可靠,作者说他最长有过 12 小时,对于你来说肯定不够。还有一个问题,“必须花费一定时长的物理限制”,这意味着他真的需要连续跑你设定的这么长时间,你得真的有设备持续不断的运算这么久。这点来看,可靠性真的不如 tlock ,最好依赖一个可信的第三方。
或者,使用 aws nitro-enclaves ,写个简单的 py 脚本,里面设置逻辑,只有当 xxx 日期后才能输出密钥,放入 enclaves ,启动,enclaves 不可更改,不可调试,绝对按照你脚本逻辑运行,非常安全。
脚本逻辑:
1. 获取到用户传入的 key 。
2. 输出 key 之前验证当前日期是否大于 xxx ,是则输出 key ,否则拒绝请求。( enclaves 不可更改,意味着时间也不可更改)
https://github.com/rayanamal/timelock
上面这个就是物理限制,依靠 cpu 计算一定次数来加密解密。但是不可靠,作者说他最长有过 12 小时,对于你来说肯定不够。还有一个问题,“必须花费一定时长的物理限制”,这意味着他真的需要连续跑你设定的这么长时间,你得真的有设备持续不断的运算这么久。这点来看,可靠性真的不如 tlock ,最好依赖一个可信的第三方。
或者,使用 aws nitro-enclaves ,写个简单的 py 脚本,里面设置逻辑,只有当 xxx 日期后才能输出密钥,放入 enclaves ,启动,enclaves 不可更改,不可调试,绝对按照你脚本逻辑运行,非常安全。
脚本逻辑:
1. 获取到用户传入的 key 。
2. 输出 key 之前验证当前日期是否大于 xxx ,是则输出 key ,否则拒绝请求。( enclaves 不可更改,意味着时间也不可更改)
1 天前 回复了 jefferyJQ 创建的主题 › 奇思妙想 › 有没有一种“把私钥关进时间胶囊”的工具?想物理强制自己 HODL |
3 天前 回复了 hqt1021 创建的主题 › NAS › 理性讨论 没有绝对安全的系统 |
@zhzy 能不能找到是一回事,我提不提供是另一回事。。
3 天前 回复了 Hconk 创建的主题 › 信息安全 › 建议给所有需要公网暴露的 web 服务套一层 authelia |
@Livid 吵架贴
3 天前 回复了 Ja22 创建的主题 › 信息安全 › fnos 为什么不直接禁止版本<=1.1.18 的用户用他家穿透,那么多付费用户怎么办? |
@nxuu #36 nas 其实是一个企业级的商用方案,从 1980 年迭代至今已经有 30+年的历史了,这是一套完全成熟的方案,无论是安全性还是稳定性早就经过无数公司和市场的检验了,本质上非常安全。
hetzner 就是一个例子,他们提供企业级别的存储,已经运作几十年了,很多用户把各种备份资料存入他们的 storage-boxes 中,完全没有任何问题,这个方案本身是可行的、安全的、可靠的、稳定的。
只是 nas 这个概念近几年被商业化运作,发现能在消费级市场赚钱,并且符合某些用户的需求罢了,fnos 本质是一个家庭玩具,和企业级的 nas 不是一个概念。而 nas 本身就是一个非常专业的东西,设计初衷就不是给小白用户使用的。这就好像变电站大型电闸,本身就是一个专业的东西,现在有个企业把他下放到了用户端,不能说用户触电就是大型电闸有问题,单纯就是场景不对。
为什么说群晖威廉通可以使用?因为人家盈利的大头本来就是企业方案,先有企业的底子,然后下放到小型团队/家庭来使用,这样就没问题。fnos 一开始就想着把一个专业的东西提供给小白用户,必然要踩坑的。
hetzner 就是一个例子,他们提供企业级别的存储,已经运作几十年了,很多用户把各种备份资料存入他们的 storage-boxes 中,完全没有任何问题,这个方案本身是可行的、安全的、可靠的、稳定的。
只是 nas 这个概念近几年被商业化运作,发现能在消费级市场赚钱,并且符合某些用户的需求罢了,fnos 本质是一个家庭玩具,和企业级的 nas 不是一个概念。而 nas 本身就是一个非常专业的东西,设计初衷就不是给小白用户使用的。这就好像变电站大型电闸,本身就是一个专业的东西,现在有个企业把他下放到了用户端,不能说用户触电就是大型电闸有问题,单纯就是场景不对。
为什么说群晖威廉通可以使用?因为人家盈利的大头本来就是企业方案,先有企业的底子,然后下放到小型团队/家庭来使用,这样就没问题。fnos 一开始就想着把一个专业的东西提供给小白用户,必然要踩坑的。
3 天前 回复了 liuidetmks 创建的主题 › NAS › 你们都在说飞牛,但是也没看网上爆个艳照啥的,是否说明实际漏洞影响没那么大? |
@wangj00756 #64 并不能。。。得让你的机器在页面显示特定内容,并且和你在这儿发的能对得上。你的截图什么都说明不了,任何人装个飞牛,按下 F12 改内容,都可以得到你这张截图,甚至把域名改成百度谷歌都行。
3 天前 回复了 liuidetmks 创建的主题 › NAS › 你们都在说飞牛,但是也没看网上爆个艳照啥的,是否说明实际漏洞影响没那么大? |
@wangj00756 #61 不是我不相信的问题,而是 v 站里面所有这种类型的渗透测试都需要证明你的是你的,不管是我也好,其他人也好,都是如此。这和信不信你无关,而是曾经发生过,有人想搞对方,故意伪装成要求对自己进行渗透测试,导致人们在不知情的情况下集体对别人进行攻击。之所以这么严格,一个是因为这种事情影响到的可能是其他人,另一个原因是 在没有明确授权的情况下对某个设施进行渗透测试是违法的,这个是刑事责任。
通用的手法,是你在机器上放一段文字或某个特定页面,能和你在 v 站上放出的相对应即可。
通用的手法,是你在机器上放一段文字或某个特定页面,能和你在 v 站上放出的相对应即可。
3 天前 回复了 ritziiiiii 创建的主题 › NAS › 三星 PM963 企业级 Nvme,待机功耗居然有 6W! |
说点我们不知道的
Select Language