安全问题
seymer opened this issue · 3 comments
seymer commented
- Token authentication 链接去掉 token 后仍可访问服务及日志输出等。
- Basic authentication 去掉用户名及密码仍可访问服务及日志输出等。
Leask commented
這起初是一個by
designed的設計,不是bug,因為原本的設計是對於授權過的地址,在一個session時間段內,就不繼續需要驗證了。這個設計是因為pac其實沒有辦法把授權配置傳輸到代理層面。所以pac帶著token授權之後,在一定的時間內,對應ip的請求就不再需要授權了。不過其實代理無關緊要,讓他保持一段時間可用是沒有任何傷害的,但是對於管理地址,例如pac本身以及log頁面,的確可以取消這個機制,你的提議很好。我會考慮如何實現它,請留意項目後續的更新。謝謝🙏
On Fri, Jan 6, 2023 at 5:05 AM Siqing Mu ***@***.***> wrote:
1. Token authentication 链接去掉 token 后仍可访问服务及日志输出等。
2. Basic authentication 去掉用户名及密码仍可访问服务及日志输出等。
—
Reply to this email directly, view it on GitHub
<#6>, or unsubscribe
<https://github.com/notifications/unsubscribe-auth/AABY4PSRO47BKZCGXYHK3WLWQ7U7BANCNFSM6AAAAAATS5IHFU>
.
You are receiving this because you are subscribed to this thread.Message
ID: ***@***.***>
--
Sincerely,
Sixia "Leask" Huang <https://leaskh.com>
seymer commented
好的,感謝您的回覆,同時期待後續更新。
Leask commented
剛剛更新的新版本已經強制維護性頁面講不繼承權限,必須每次都重新認證。🍻