clash 信息安全提醒，请勿把 clash 暴露在公网环境

偶尔看到有被刷流量的，就是这种吧

不开局域网共享 就不会暴露的吧

啊这，刚知道 clash 这个 api 后台居然是可以不设置密码的，

这个应该订阅链接不会泄露吧

换端口 加密码：
external-controller: :9938
secret: pa$$wd

应该看不到具体的节点信息吧，

external-controller: 10.0.0.11:7777
bind-address: 10.0.0.11

看了一下 clash 的 restful api ，顶多泄露日志信息和配置信息，但是不会泄露具体的订阅信息和节点信息，但是可以通关 api 修改相关配置

阿这

@lieyan 所以说是不是没事儿奥，老哥

家宽不开公网的话，没这个问题吧

别暴露在公网就可以了。

最新版已经修复这个 bug 了
其实就是一个远程执行漏洞
7 楼说的在配置文件里修改端口就可以避免这一问题。

@cxxlxx
@d873139022
@lieyan
clash REST api 支持 CORS 所以就有问题了。因为你可以通过 yacd 来控制你的 clash, 比如增加一个 proxy-provider( fetch(':9091', {method: 'PUT', body: {一段恶意程序}} 这样恶意程序可以下载到电脑的任意位置（路径穿越漏洞）

参考：
https://github.com/Fndroid/clash_for_windows_pkg/issues/3891
https://hostloc.com/thread-1176031-1-1.html

修改端口没有用，页面上的搜索结果全是扫描出来的
@garipan
1. 不暴露在公网
2. 加密钥

@estk 开了公网也没事 除非在路由器端口转发 映射出去了

@blankmiss #16
感觉中招的都是服务器运行 clash ，并且开了 9090 端口

可能是没开 IPv6 防火墙

看了下接口，最多泄露节点的昵称，不会泄露节点信息。不过流量运行日志是可以看到连接情况。

clash 一系的安全性本来就差，设计之初就不注重安全，大量的配置都是默认不安全的，像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆，基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭，甚至有些加强安全性的 pr 也不合。
还有什么闭源版本、闭源的 gui 。闭源软件没问题，但无法商业化的程序闭源意味着什么我就不说了。
在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。