该项目存在严重安全隐患

Question

JasonYANG170 opened this issue 10 months ago · 12 comments

请不要在config.yaml填入cookie信息，Fork项目是公开存储库，任何人都可以看到config.yaml的私人cookie及tonken，破坏者会利用该信息获取用户个人隐私。建议改回配置仓库secret，Github会对secret进行加密处理

Answer 1 · 2024-02-28T16:33:59.000Z

请不要在config.yaml填入cookie信息，Fork项目是公开存储库，任何人都可以看到config.yaml的私人cookie及tonken，破坏者会利用该信息获取用户个人隐私。建议改回配置仓库secret，Github会对secret进行加密处理

自动签到很不错；这一点确实让人比较难受

Answer 2 · 2024-02-28T16:40:55.000Z

请不要在config.yaml填入cookie信息，Fork项目是公开存储库，任何人都可以看到config.yaml的私人cookie及tonken，破坏者会利用该信息获取用户个人隐私。建议改回配置仓库secret，Github会对secret进行加密处理

自动签到很不错；这一点确实让人比较难受

只能暂时自建一个仓库使用了，期待后续更好的解决方案^.^

Answer 3 · 2024-03-05T09:44:58.000Z

只能自己fork后改成私有库了，原本secret方式有点难用

Answer 4 · 2024-03-05T11:09:58.000Z

只能自己fork后改成私有库了，原本secret方式有点难用

fork项目是无法修改成私有库的，需要用户自建私有库，再迁移代码才可以😂

Answer 5 · 2024-04-15T23:10:20.000Z

这个签到安全吗

Answer 6 · 2024-04-18T10:19:13.000Z

这个签到安全吗

当然，但是建议手动导入到自己的私有库运行

Answer 7 · 2024-04-22T09:40:20.000Z

这个签到安全吗

当然，但是建议手动导入到自己的私有库运行

请问应该怎样操作

Answer 8 · 2024-04-22T09:57:02.000Z

这个签到安全吗

当然，但是建议手动导入到自己的私有库运行

请问应该怎样操作

在github创建自己的仓库，设置为私人仓库，然后下载作者的代码再上传导入自己的仓库运行

Answer 9 · 2024-04-24T03:44:02.000Z

是呀，建议改为以前的方式，不要用yaml

Answer 10 · 2024-04-24T03:52:30.000Z

周末看看action语法，回头改回来配成密钥形式

Answer 11 · 2024-04-24T04:19:18.000Z

周末看看action语法，回头改回来配成密钥形式

pushplus是不是收费了，微信扫码登录后找不到token了

Answer 12 · 2024-04-24T12:31:18.000Z

没收费，还能用。
要不你们看看WPS签到，昨晚移植过去的，那个应该安全点，别人看不到cookie
这是链接：https://www.baozangzhinan.com/blog/20240423a