MiKing233
最后给飞牛 fnOS 的厂商”广州铁刃智造技术有限公司”送三面赛博锦旗:
《不遵守安全披露规范的厂商》 《不适合关键数据存储的系统》 《不可信任的基础设施提供方》
就官方这种处理重大安全事故的态度这系统后面还有谁敢用, 公告通篇看不出一点对用户数据负责任的态度, 轻飘飘一句公网环境下异常访问风险, 通篇没提漏洞造成的严重后果, 以及自身的 FN Connect 服务同样会导致数据全部泄露, 目前漏洞已被大范围滥用, 官方仍不愿告知用户影响程度和范围, 就这样的…
@yafoo 现在这个时间点已经没差别了, 该看的早被看完了, 说不定你整个 NAS 上的照片都被人拉走存一份了
@Lentin #8 他说的是 Nginx 的 auth_basic, 这个确实有用, 因为漏洞本质上是要能访问你的 Web 登入界面, 加了 Nginx 那一层 auth_basic 认证没过的话登入界面都打不开, 自然无法利用这个漏洞, 但大部分人是不会再套一个 Nginx 的, 就算是这样用官…
🤮
@izToDo 那确实是, 能到这一步基本算是彻底沦陷了, 好在我一开始就不信任它, 作为一台 VM 跑在 PVE 上里面没有存任何数据, 就用飞牛影视和下载挂了几个 BT 种子, 电影资源都是存在 UniFi 的 UNAS 上通过 SMB 只读挂在 fnOS 上, 那些真把飞牛当 NAS 用存个人…
@a9htdkbv 可以访问整个 nas 全部文件, 这个说法有依据吗? 如果是真的无疑是对飞牛用户信任的毁灭性打击, 各个帖子看的云里雾里, 官方也轻描淡写的把锅甩给用户 http 公网访问被劫持, 如果确实是系统漏洞应该无关 http, 套了 tls 也没意义, 按我目前的理解官方是随手找了个口…
@yeh #5 走 fnconnect 也是 https 访问, 只不过用飞牛自己的域名, 别人知道了你的 ID 谁都能打开你的登陆界面
2026 年了这不是常识吗, Web 服务不应允许明文 HTTP, 必须经由 TLS 加密…
跟公网暴不暴露有什么关系我请问? 走 FNConnect 也算公网暴露出去吗? 国产 NAS 像绿联极空间全部都自带外网访问不需要你有公网 IP, 为什么人家没出问题? 本质上不是系统漏洞造成的吗? 是蠢还是坏我真求你们这帮人了能不能别给飞牛在这边洗了?