关于 Redis 的安全问题

之前为了方便存一些数据,我在自己 vps 上开了一个公网可以访问的 redis 服务,没有设置密码。今天突然奇想,看了看上面有什么。结果看到了某些不太好的东西。

127.0.0.1:6379> keys *
1) \"f17cc4f5e5\"
2) \"crackit\"
3) \"7cc4f5e5\"
127.0.0.1:6379>

有 3 条数据,2 个乱码名字,先看看正常点的名字crackit:

127.0.0.1:6379> get crackit
\"\\n\\n\\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC/cGu3SeRUbTfPVGWZw9hRod+HWik+Ca8Mj0Flxwb2iU2MIOTRLyuB29ZwkgB4WpPEWD3NReSIo1cIYhuAKtVNGF6WgxnsAs++lcbkNGFDXPuhRHkPiiz11ipWtk7xUF3rkVGvbaBO4gNFGSmZ8fvJdqquXM/EtEySURswo1bT5uWsE0TU2Bolw0XbeIPe99Uuw9bTOYP3UvCw2abvOWsRmm5mZAl/mosgDq1NQux0XdO6oT9QTk2ID4pbza8AcTqGFE4rQcOxF/YCpPDwd4lRxmSWl8WmbAWRDolJLxQFuIMZt7sg+yvGj7Z6+ils7/qLvcZx6A5E21Ldcg3UXrKp root@niuoh\\n\\n\\n\\n\"
127.0.0.1:6379>

吖咯,看到了某某人的 ssh public key呢。 继续阅读“关于 Redis 的安全问题”

终结是新的开始

之前考虑着关掉博客,但是想了一想还是不想把就这么关掉,大概是从去年的7、8月份时写了第一篇,好像是关于 IOC/AOP 的吧,之后基本上几天能写一篇,不过内容都不算很多,不是很详细,也不是很深入的那种,大多都是写一些自己的小玩具之类的。

暑假之后更新的次数少了很多,原因前面已经说过了。本来想着关掉博客这个博客,后来还是没有舍得下手。但是就那样继续下去又感觉略别扭。其实蛮想不到的,自己这些文章里好像只有那个写多说评论框https下使用的文章稍热一点点。好吧,现在其实不需要那么麻烦了,只需要在 http header 里带上 Content-Security-Policy: upgrade-insecure-requests 把那些 http 连接 强行 升为 https 就好了。

终结是新的开始。我把之前的东西全部都备份压缩放到了 github 上「怎么感觉这好像算是滥用的样子」,木有续以前的坑。

重新写了博客,考虑到未来可能不想续费阿里云了(有点贵),所以考虑以后部署到 github pages

大部分人都是用的 hexo,jekyll 等静态博客生成工具。将博客内容写到 markdown 文件里,然后 build 出博客的静态文件,再 pushusername.github.iogh-pages 分支上。但是呢,我可不想落入俗套呐,于是我就结合了 @Junnplus 这家伙的「見 issues」 ,用 SPA + github commit api 实现了这个博客咯。哎,之前百度还收录了我100多个页面呢,换上 SPA 后估计就没了,无所谓了=-= 继续阅读“终结是新的开始”