群晖是怎么做到通过网页扫描内网所有群晖设备的?不会被浏览器同源策略拦截吗?随便一个网页都能随意访问内网是不是很不安全, pian 用户点一个网页就能进内网扫洞偷数据了(很多用户内网走 HTTP 的 she-像-头之类设备默认密码都不改的)?

2022-11-17 19:36:11 +08:00
 edis0n0
https://finds.synology.com/

iOS 上的一个很好用的乌-ke-兰软件 Documents 的 https://docstransfer.com/ 是不是也是相同的原理?

真的不存在安全问题吗?
1820 次点击
所在节点    信息安全
9 条回复
edis0n0
2022-11-17 19:37:16 +08:00
不知道哪个是敏感词,一直提示要注册 1014 天发布,只能全换成拼音了
retanoj
2022-11-17 19:41:24 +08:00
能扫到,说明内网其他群晖设备有服务暴露啊
edis0n0
2022-11-17 19:46:07 +08:00
@retanoj #2 能扫内网就说明能访问内网啊,不知道有没有别的限制
looking0truth
2022-11-17 19:47:37 +08:00
mDns 可以了解下
yueji
2022-11-17 19:47:37 +08:00
mDNS?
ylls
2022-11-17 19:55:34 +08:00
看网页在请求 这个地址 http://flashstation.local:5000
ylls
2022-11-17 19:57:10 +08:00
@ylls 不算扫描,需要对方主动把主机名修改成这个并且开放这个端口
ylls
2022-11-17 19:59:51 +08:00
@ylls 会被浏览器同源策略拦截吗?
-------------------------------
对端做好跨域处理就好了
edis0n0
2022-11-17 20:31:39 +08:00
仔细看了下前者确实是 mDNS ,后者 mDNS 都没用,用户手动输入配对码后直接 js 跳转到服务器 API 返回的内网 IP

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/896025

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX