关于www文件夹的安全问题

plutosherry · 发表于 2018-6-19 14:46:00

killadm 发表于 2018-6-19 14:29
是插件的问题，敏感信息不应该写在前端

是的，毕竟是开源插件也不能要求这么高咯。如果要用在外网只能自己改咯

neroxps · 发表于 2018-6-19 15:16:08

想问下楼主，墨澜的地图在没登录的情况下，怎么能读到 config,js里面的HomeAssistantWebAPIPassword内容。

我用隐身模式测试了下，全部访问均要求输入api密码才能得到访问啊？

25989406 · 发表于 2018-6-19 16:05:45

www目录就是设计给共享文件用的，你把配置文件写到这里属于使用不规范，我不认为这算漏洞。
http://ip:port/local/../../configuration.yaml 能访问到才叫漏洞

plutosherry · 发表于 2018-6-20 12:52:57

本帖最后由 plutosherry 于 2018-6-20 12:54 编辑

25989406 发表于 2018-6-19 16:05
www目录就是设计给共享文件用的，你把配置文件写到这里属于使用不规范，我不认为这算漏洞。
http://ip:port ...

configuration.yaml 不再www下自然无法访问到咯也是给大家提个醒，涉密的东西就不要放到www下，不然一旦吧hass公布到公网上就等于把www下的东西也直接给公布了哈

plutosherry · 发表于 2018-6-20 12:55:52

neroxps 发表于 2018-6-19 15:16
想问下楼主，墨澜的地图在没登录的情况下，怎么能读到 config,js里面的HomeAssistantWebAPIPassword内容。
...

http://ip:port/local/custom_ui/inkwavemap/config.js

这个地址就可以的哦

neroxps · 发表于 2018-6-20 13:45:19

本帖最后由 neroxps 于 2018-6-20 13:46 编辑

plutosherry 发表于 2018-6-20 12:55
http://ip:port/local/custom_ui/inkwavemap/config.js

这个地址就可以的哦

要加local？？我加了会找不到文件。不加就跳转到密码输入页。
哦可以了可以看到。

		自动登录	找回密码
密码			立即注册

[求助] 关于www文件夹的安全问题