重大安全事故,有道云笔记的共享功能,会泄露原作者写笔记时的所使用的 IP 地址。
documentzhangx66 · 2023-07-25 13:51:40 +08:00 · 1449 次点击这是一个创建于 481 天前的主题,其中的信息可能已经有所发展或是发生改变。
写了复现方法,想了一下这违法,我也不希望这个漏洞被利用,就删掉了。大佬其实可以自己复现,原理很简单。
有道云笔记,连这个小功能都会泄露信息,说不定其他地方漏洞百出。
建议,尽快买 NAS ,自建笔记软件,手机采用 VPN 入网,做好地区 IP 访问白名单,有条件的公司或个人可以再买一台深信服下一代防火墙,然后使用开源软件比如 Joplin 、Obsidian ,结合 GIT 与冷备软件,来搭建自己或公司的私有笔记系统。
 |
1
israinbow 2023-07-25 19:02:31 +08:00 via Android
又是 webrtc 的功能?
|
 |
2
documentzhangx66 OP @israinbow
程序员偷懒了,为了方便调试或开发,把本来不应该发出来的字段信息,也一起发出来了。 这个事情前几天在一家小公司见到过,后端过度包装了实体对象给前端,没想到今天发现有道云笔记也有这个问题。 |
 |
3
GHvyuR7N 2023-07-27 12:28:57 +08:00 via iPhone
有推荐的私有笔记系统吗?
|
Select Language