重大安全事故,有道云笔记的共享功能,会泄露原作者写笔记时的所使用的 IP 地址。

2023-07-25 13:51:40 +08:00
 documentzhangx66

写了复现方法,想了一下这违法,我也不希望这个漏洞被利用,就删掉了。大佬其实可以自己复现,原理很简单。

有道云笔记,连这个小功能都会泄露信息,说不定其他地方漏洞百出。

建议,尽快买 NAS ,自建笔记软件,手机采用 VPN 入网,做好地区 IP 访问白名单,有条件的公司或个人可以再买一台深信服下一代防火墙,然后使用开源软件比如 Joplin 、Obsidian ,结合 GIT 与冷备软件,来搭建自己或公司的私有笔记系统。

1473 次点击
所在节点    分享发现
3 条回复
israinbow
2023-07-25 19:02:31 +08:00
又是 webrtc 的功能?
documentzhangx66
2023-07-25 21:20:02 +08:00
@israinbow

程序员偷懒了,为了方便调试或开发,把本来不应该发出来的字段信息,也一起发出来了。

这个事情前几天在一家小公司见到过,后端过度包装了实体对象给前端,没想到今天发现有道云笔记也有这个问题。
GHvyuR7N
2023-07-27 12:28:57 +08:00
有推荐的私有笔记系统吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/959530

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX