V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
qiaofanxing
V2EX  ›  NAS

绿联私有云 NAS 存在中间人攻击风险,官方泛域名证书可被下载

  •  1
     
  •   qiaofanxing · 140 天前 via Android · 6756 次点击
    这是一个创建于 140 天前的主题,其中的信息可能已经有所发展或是发生改变。
    [绿联私有云 NAS 可能存在中间人攻击,官方域名的泛域名证书可以被直接下载-哔哩哔哩]

    BV1xT421Y7aA

    所有绿联云用户共用一个证书和私钥,开创了证书互联、私钥共享的新时代
    57 条回复    2024-07-08 16:23:28 +08:00
    Love4Taylor
        1
    Love4Taylor  
       140 天前
    就还挺逆天的
    yyzh
        2
    yyzh  
       140 天前 via Android   ❤️ 2
    好像已经吊销了? https://crt.sh/?id=13146419955&opt=ocsp
    不过绿联这是从哪里找的这帮人才🤔
    1423
        3
    1423  
       140 天前
    偷偷用不好嘛..
    JensenQian
        4
    JensenQian  
       140 天前
    这牌子的 nas 真的牛
    geniussoft
        5
    geniussoft  
       140 天前 via iPhone   ❤️ 3
    群晖做得其实没啥好。

    架不住在座的各位都是垃圾……
    lxh1983
        6
    lxh1983  
       140 天前 via iPhone
    @geniussoft 愿闻其详?看看吃绿联这碗饭的都是些什么货色?
    ztmzzz
        7
    ztmzzz  
       140 天前 via iPhone
    @lxh1983 你是不是看岔了
    bigtan
        8
    bigtan  
       140 天前
    大厂都是靠有经验的人把关,草台班子干活。绿联感觉从上到下全是草台班子
    lxh1983
        9
    lxh1983  
       140 天前 via iPhone
    @ztmzzz 还真是,对不住了哥们
    whileFalse
        10
    whileFalse  
       140 天前
    所以其他在内网提供 https 服务的产品是怎么做的?
    coolcoffee
        11
    coolcoffee  
       140 天前
    要达成内网攻击条件还是挺苛刻的,能进入到内网劫持 DNS 那都拿下整个内网权限了。

    隔壁群晖的做法要么自己配置内网域名和证书,否则就走自签证书浏览器隔段时间就弹警告。可能绿联觉得这个会让他们的影音用户懵逼吧。
    neroxps
        12
    neroxps  
       140 天前 via iPhone
    @coolcoffee 同一个 L2 局域网下即可。arp 攻击挟持网关 mac dns 抢答
    fenglong
        13
    fenglong  
       140 天前
    绿联 NAS 又有瓜啊,笑死,给人一种全员新手的感觉
    gulugu
        14
    gulugu  
       140 天前
    绿联就是做外壳的,不要指望有多少技术含量
    fenglong
        15
    fenglong  
       140 天前
    @coolcoffee 网管有内网权限,正常情况也看不了老板 NAS 的资料,利用这个漏洞可以看到了
    coolcoffee
        16
    coolcoffee  
       140 天前
    @neroxps 现在企业级路由器都有防 ARP 攻击的功能,还能这样轻松做 ARP 攻击吗? 十年前我确实拿是一部 Android 手机把整个局域网的流量都给劫持了。


    @fenglong 我觉得公司选用绿联,那么这个公司和绿联一样也是草台班子。限制网管的更多的是靠职业道德和刑法,因为老板和公司老板同事大部分都不懂这块的,网管可以轻松的植入根证书或者直接看 DLP 的所有监管数据。总会有人有网络最高权限的。
    xiamy1314
        17
    xiamy1314  
       140 天前   ❤️ 7
    买绿联 NAS...说难听点,脑子不好...
    bukekangli
        18
    bukekangli  
       140 天前
    为啥下载的证书包含私钥,用途是啥?下载不到私钥就没问题了吧
    justtoxic
        19
    justtoxic  
       140 天前 via iPhone   ❤️ 2
    没事没事,给司波图再花点钱让他帮洗洗地不就没事了,办法不限于说绿联系统开放可以刷黑裙,绿联大气有问题支持退款,绿联自主研发 debian 系统马上上线,测试版绿联系统强的离谱,足够了
    kaedeair
        20
    kaedeair  
       140 天前
    @whileFalse #10 单域名,然后这个域名在公网只显示向导,不提供服务
    zxih123
        21
    zxih123  
       140 天前 via Android
    @justtoxic 秀儿
    aladd
        22
    aladd  
       140 天前
    客服的工资估计不行,或者大家都在摸鱼摆烂。 哈哈,巴不得你搞点事,然后给点压力上面。 要么干,要么解散,别耗着了。
    wheat0r
        23
    wheat0r  
       140 天前
    @coolcoffee #16 网关上的 arp 保护只能防止自己被欺骗吧,子网里的设备又不靠网关互访。
    shmilypeter
        24
    shmilypeter  
       140 天前
    @bigtan 说的太对了,这类似于开发商买了一个小区,钥匙都是一把一样离谱
    zomco
        25
    zomco  
       140 天前
    "你不犯法怕什么数据共享"
    NoOneNoBody
        26
    NoOneNoBody  
       140 天前
    我虽然没买多少绿联产品,但这品牌在我这里已经完全黑化了,全靠 v2er 连续多年对绿联的持续反馈,从一般线材到扩展坞到 nas ,在这搜绿联的帖子真的很精彩,让我获得了充分认知
    cz5424
        27
    cz5424  
       140 天前 via iPhone
    一个硬件公司,不认可软件价值。死抠硬件的几毛利润。🤣🤣🤣
    sagaxu
        28
    sagaxu  
       140 天前
    我说了好多遍了,绿联家除了数据线啥也不能买
    powerman
        29
    powerman  
       140 天前
    @cz5424 问题的关键 不是大陆没人愿意为软件买单么,黑苹果 黑群晖 不就是这么玩起来的么
    a9htdkbv
        30
    a9htdkbv  
       140 天前
    现在澄清 ugnas.cloud 这个域名是体验机专用了。但是以前 ugnas.com 这个域名的私钥也可以被下载,目前 ugnas.com 这个域名的证书已经过期了
    povsister
        31
    povsister  
       140 天前 via iPhone
    符合我对外包软件的想象
    coolcoffee
        32
    coolcoffee  
       140 天前
    @powerman 这个甩锅结论我非常不认可。明明是绿联自己选型错误,重营销而轻技术积累栽了跟头。

    黑群晖跟黑苹果一样都只是官方懒得管,反而是潜在的购买人群,大部分折腾不动都会洗白的。
    cz5424
        33
    cz5424  
       140 天前   ❤️ 1
    @powerman 用了黑的好用你就会想要买白的了,官方不抓而已
    revoirzl
        34
    revoirzl  
       140 天前
    @cz5424 营销公司,技术外包,数据线以外的产品要么代工贴标和要么买半成品方案,你太高看绿联了。
    yvescheung
        35
    yvescheung  
       140 天前
    绿联做 nas 不亚于东风小康造豪车,关键是真的有一大群 zz 去买
    cz5424
        36
    cz5424  
       140 天前 via iPhone   ❤️ 1
    @revoirzl 系统估计是供应商赠送的🤣🤣
    neroxps
        37
    neroxps  
       140 天前 via iPhone
    @coolcoffee 只要你比路由发包快就好,而且防 arp 不是在防火墙,一般有防火墙的环境都有三层交换机。简而言之还是有可行性。
    neroxps
        38
    neroxps  
       140 天前 via iPhone
    @bukekangli 应该是绿联的泛域名证书的私钥封装在绿联的系统里分发到所有的产品里。有 shell 权限就能拿到私钥呗。
    zgqq
        39
    zgqq  
       140 天前
    @yvescheung #35 小康起码造过面包车,更像小米汽车上来直接三层镀银玻璃
    SatoZ
        40
    SatoZ  
       139 天前
    @xiamy1314 1800 多买台四盘位 N100 8G 内存的 NAS ,做工一流还送个排插,这价就算光买硬件有什么问题?
    SatoZ
        41
    SatoZ  
       139 天前
    @yvescheung 1800 多买台四盘位 N100 8G 内存的 NAS ,做工一流还送个排插,这价就算光买硬件有什么问题?
    PerFectTime
        42
    PerFectTime  
       139 天前
    绿联这辣鸡东西,有多远离多远好了。

    居然还有人给绿联洗地,真是搞笑
    coolcoffee
        43
    coolcoffee  
       139 天前
    @SatoZ 大家在讨论软件和系统烂,然后你讨论个硬件把水搅浑?

    绿联既然是打着 NAS 的旗号在卖商品,最基本的安全都做不好趁早解散吧。 别一小众所谓专业用户吹绿联硬件好,小白听到还以为绿联 NAS 系统也做的好而深受其害。
    yvescheung
        44
    yvescheung  
       139 天前
    @zgqq 东风小康卖 50 万,缅北都不敢这么骗
    yvescheung
        45
    yvescheung  
       139 天前
    @SatoZ 没什么问题,你多买几台供起来
    aceinnes
        46
    aceinnes  
       139 天前 via Android
    逆天
    zbowen66
        47
    zbowen66  
       139 天前
    @SatoZ #39 硬件没问题啊,用草台班子做的系统心是真大
    zgqq
        48
    zgqq  
       139 天前
    @yvescheung #44 小米模仿众泰都敢卖 30 ,小康卖 50 也正常
    akiyamaakira
        49
    akiyamaakira  
       139 天前
    @bigtan 我有限的对绿联的早期模糊记忆:当时他们在官网说公司以前是专门给各种大厂代工配套 USB 线之类的,品质很高,但是市场上的零售线材品质很差,觉得应该做点什么就创立了一个品牌希望大家都能用上好线。

    做线就好好做线吧,居然飘了。
    dhb233
        50
    dhb233  
       139 天前
    有签名权限的证书要比泛域名贵,然后就用泛域名证书给所有用户用?
    shineben
        51
    shineben  
       139 天前
    好像之前就有人说过
    SatoZ
        52
    SatoZ  
       139 天前
    @coolcoffee 什么叫我讨论硬件?麻烦你看清楚我回复的评论,讨论软件、喷软件我没任何意见,但是我回复的那 2 楼,根本没在说软件怎么怎么样,而是单纯在那骂绿联 nas 的用户"zz""脑子不好",这是合理的?我回复一下为什么买绿联 nas ,有半点问题?
    hanssx
        53
    hanssx  
       138 天前
    证书里面带 private key 就逆天
    lslqtz
        54
    lslqtz  
       138 天前
    一个个子域名签发的话成本太高了, 除非买一个中级证书来.
    其实我觉得甚至不如用 Let's Encrypt, 但这种商业使用可能有些约束在吧.
    njylll
        55
    njylll  
       138 天前
    @hanssx 带私钥没啥问题吧, 用户作为服务端需要的, 关键是大家都用同一份...
    fatekey
        56
    fatekey  
       138 天前
    @bigtan 绿联本来就没啥软件开发经验
    hanssx
        57
    hanssx  
       138 天前
    @njylll 哦,对,它这个下载应该是每个用户不一样,我错了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2755 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 10:03 · PVG 18:03 · LAX 02:03 · JFK 05:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.