Tabby 的 SSH 主机密钥验证形同虚设,完全无法阻止中间人攻击

5 小时 30 分钟前
 drymonfidelia

之前在 /t/1074154 问 V 友有没有开源的 SSH 客户端推荐,很多人推荐了 Tabby ,今天闲下来打算试试,这类工具我用前都会先简单测试一下安全性,结果我都还没开始用,第一个测试就发现了大问题 https://github.com/Eugeny/tabby/issues/9955

733 次点击
所在节点    信息安全
10 条回复
q000q000
4 小时 48 分钟前
换到 Windows Terminal 了,使用体验很好。
drymonfidelia
4 小时 20 分钟前
@q000q000 不好用,没 sftp 传文件麻烦得要死,有的机器我没权限装 rz/sz
totoro625
4 小时 4 分钟前
推荐一个: https://terminal.icu
Rorysky
3 小时 48 分钟前
这是否是 ssh 本身的行为? 挨个尝试 鉴权方式
drymonfidelia
3 小时 45 分钟前
@totoro625 这个不开源,连安全检查都做不了
drymonfidelia
3 小时 44 分钟前
@Rorysky 挨个尝试鉴权方式也绝对不能在主机密钥验证前就把鉴权数据发出去,这样中间人就能直接完成身份验证了
drymonfidelia
3 小时 43 分钟前
我提 issue 用密码验证纯粹是复现方便,公钥验证我没测试,但密码验证这么简单的逻辑都能出问题公钥验证也有这个问题的概率极大
restkhz
3 小时 32 分钟前
做的好,提个 CVE 呗?
drymonfidelia
3 小时 3 分钟前
@restkhz 已经提了
cookii
2 小时 47 分钟前
不懂技术细节,但我一直用 tabby😂

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1074838

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX