脚本小子在瞎跑，不用太在意，结合业务看是否可以关闭自省 @type

@houzhishi 我想大家讨论 apple 对标笔记本厂商，应该说的都不是低于 1w 的本子吧

@PDX 之前是外星人，现在是 xps 都是第二天直接上门~

@Had 现在在头部的乙方安全厂，四叶草啥的这种不入流的就不考虑了。

借楼，同求，西安有没有网络安全岗位，最好可以是甲方，社招。

mark 了，感谢楼主分享，如何学习更多类似这样的包呢？

@2le 至于会话保存，我对场景的思考只能是可能服务器会对网络情况不好的时候会不会有一种优化的操作，当然这些是我的猜测，没有任何证据。

@2le 我进行了，对于下拉记录没有的历史情况进行复现尝试，我的操作时，本地端先勾选记住密码，然后连接，然后删除历史记录，然后取消勾选记住密码，下次登陆依然可以直接连接。这个情况完全可以理解为缓存文件导致的。

@houzhishi 或者下拉历史栏手动删除记录，就需要重新验证密码了

@no1xsyzy 你的思路我复现了一下，即使取消勾选，之前保存的依然在，依然可以直接连接。现在回头想，复现的时候修改一下连接密码是最有效的验证软件是否存在未授权。

@minami 如果你是用过此软件以及有开发的经验，结合官方的日志，基本可以判断，仅仅是记住密码的问题，我是此软件的老用户，而且我比较喜欢记住密码的功能，平时使用很方便。

@minami 哈哈哈，自我感觉良好，你是在说自己的吧。我是说我在 windows 下复现没有出现这种情况，不是没有复现，而且这是个跨平台的软件，验证握手是经过服务端的，理论上不同平台不影响验证流程。从安全角度讲，这种未授权访问的漏洞，不等于常见的 bug，需要一定的条件支持，而不是你说的这种不能复现随机的 bug 。

@minami 不好意思，我这边复现不了，我是 Windows 端，我脑补个锤子，是谁在脑补，我一直在说实事求是，以及严谨。mac 在家，回家后将继续尝试 mac 下的浮现。我和你是基于对开发了解的前提下，考虑，如果你觉得我是在怼你，那你可以不用回复我了。

@minami 既然大家是写代码的，那你告诉我这样的认证场景，该怎么写，如果所有连接不需要认证，那么漏洞早就应该出来了，如果需要验证，那我们就需要排除到，认证中可能存在的流程问题，比如记住连接记录。标题一上来，就是发现漏洞，丝毫没有严谨而言，我看不到作为网络安全从业者的谨慎。

从技术的角度来看这次的问题，感觉 v2 好多人刻意带节奏。我只是用户，无利益相关。

既然你是搞信息安全的，我就假定你的漏洞是真实的，你的流程也不符合规范，你应该提交相关复现细节，提交 cnvd 或者联系官方，你这样的确有法律风险。

都是搞技术的，不要这么听风就是雨，我觉得软件操作逻辑没啥问题，应该是记住密码了，如果是安全漏洞验证，你应该尝试着登录其他人的。我也是用户，第一次登陆时肯定会要求密码的，应该是之前使用过，而且没有启用每次连接更换密码。标题有问题，就别怪上面老哥说要起诉你。