关于www文件夹的安全问题

plutosherry

RT：关于www文件夹的安全问题
HA存在一定的安全问题，在www路径下的html是可以被无条件的浏览和共享的，例如你在www下有某一个配置文件记录了你的homekit密码。那么可以直接通过http://ip:port/local/xxxxx.html or xxxxx.js 直接被读取到。不知各位有没有注意过？！！
所以如果放到公网上访问的话还是要谨慎为好！！

Aiden1

要知道路径和文件名才行啊，还有谁会没事把HA的域名和端口暴露出来

aktifin

验证了一下，确实有这个风险

plutosherry

Aiden1 发表于 2018-6-19 09:30
要知道路径和文件名才行啊，还有谁会没事把HA的域名和端口暴露出来

这个就算没有主动暴露吗，但在网上随便下载个扫描器就能扫描到的哈。

plutosherry

aktifin 发表于 2018-6-19 09:45
验证了一下，确实有这个风险

最近在研究攻防和web跨站技术，无意中拿hass验证了一下，发现开源的东西漏洞好多。还是建议大家都放在内网用吧，不是特别需要就别放公网了。。。。。。

Aiden1

只是针对www路径吧

plutosherry

Aiden1 发表于 2018-6-19 10:25
只是针对www路径吧

是的。ha的web服务会暴露www文件夹下的内容，例如之前论坛里面有提到的墨澜地图、云音乐、天气等等，这些需要将配置信息写入到某一个js文件中的都将造成ha的漏洞。
试想想，你的配置信息都写到js中了，并且可以被直接访问到，而无需任何口令的情况下，是不是等于完全暴露了呢

Aiden1

plutosherry 发表于 2018-6-19 10:46
是的。ha的web服务会暴露www文件夹下的内容，例如之前论坛里面有提到的墨澜地图、云音乐、天气等等，这些 ...

是的，云音乐就是

Mirukuteii

原来有这么多人不知道……
www是彻底暴露在网络上，谁都可以访问的呀，注意就好

killadm

是插件的问题，敏感信息不应该写在前端