V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
monkey110
V2EX  ›  分享发现

部署 Alist 并且公网可以访问站点的建议检查下存储是否启用签名。

  •  
  •   monkey110 · 146 天前 · 941 次点击
    这是一个创建于 146 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近想着把自己网盘的文件直链分享给家人下载,就把 Alist 用 CloudFlareTunnel 搞了下内网穿透,然后发现不对劲,把直链 https://yuming.com/d/115/1.txt 后面的 1.txt 改成 2.txt 就可以直接下载网盘内存在的 2.txt ,同理可以遍历尝试下载其他文件。
    搜了下发现添加存储库时"签名"选项没有默认启用,以至于有这种被扫绕过直接下载的风险,对我这种添加存储是网盘根目录,设置都是默认的小白有一定的风险,建议类似的朋友自查下存储库是否开启签名,或者直接全局选项签名所有


    官方文档
    https://alist.nn.ci/zh/config/global.html#%E7%AD%BE%E5%90%8D%E6%89%80%E6%9C%89
    [img][/img]

    issues
    https://github.com/alist-org/alist/issues/5561
    6 条回复    2024-07-25 09:34:38 +08:00
    paradox8599
        1
    paradox8599  
       145 天前 via Android
    我记得前阵子我试了下 alist 是默认全局启用签名的呀
    sanshao124
        2
    sanshao124  
       145 天前
    好像必须知道文件名才可以吧?我经常给朋友下载电影电视剧看,就直接给链接,他们能看,但是是无法退回到上一级目录的,我觉得还挺方便的
    monkey110
        3
    monkey110  
    OP
       145 天前
    @paradox8599 试了下新版是默认启用的,可能是我装的早没启用。


    @sanshao124 不启用签名有风险,毕竟有些闲着没事的人会用工具扫,开启签名就没事了。
    Ploter
        4
    Ploter  
       143 天前 via Android
    开了签名文件会被更改吗👀
    我之前开了签名,下的 apk 安装包就安装失败,关了就好了。刷的 img 文件也是这样…
    还是说我记错了,不是签名……
    psyer
        5
    psyer  
       133 天前
    看了下,默认启用所有签名
    wangshushu
        6
    wangshushu  
       132 天前
    启用了签名会有什么负面作用?我感觉好像速度变慢了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5390 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 103ms · UTC 09:17 · PVG 17:17 · LAX 01:17 · JFK 04:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.