0day 指 1.未发布的漏洞 2. 发布当天即修复的漏洞
显然飞牛的这个 bug 啥也不是,整天叫 0day ,仿佛飞牛是什么高大上了不得的系统,本质就是 web 后台, 怎么就喜欢往脸上贴金呢。
这个漏洞甚至不算漏洞,很低级的鉴权 bug
关于 nas 系统的选择:
- 不要使用商业主体在国内的
- 优先选择开源的
 |
1
wu67 6 小时 52 分钟前  2
虚假的 nas: 各种乱七八糟的系统+奇怪厂商
真正的 nas: 简单可替换低功耗的小主机+debian+docker. |
 |
2
v2exgo 6 小时 47 分钟前 3
简单可替换低功耗的小主机+debian+docker.
我一直都是这么主张的,不知道为什么 非要用这种商业化的系统,都是程序员 ,动手能力会这么差么,现在上个 claude 几分钟就部署好了 |
 |
3
dolee 6 小时 35 分钟前
第二点很认同,开源肯定更安全可靠。第一点就没法认同了,国外的月亮就一定更圆吗?
|
 |
4
LokiSharp 6 小时 1 分钟前 via iPhone
我选择 NixOS
|
 |
6
craftsmanship 5 小时 57 分钟前 via Android
> The term "zero-day" originally referred to the number of days since a new piece of software was released to the public, so "zero-day software" was obtained by hacking into a developer's computer before release. Eventually the term was applied to the vulnerabilities that allowed this hacking, and to the number of days that the vendor has had to fix them.
0day 指的是修复发版天数为 0 的漏洞 只要没修就是 0day |
 |
7
fuchaofather 5 小时 52 分钟前 1
@Kirkcong 全让你懂了
|
 |
9
PerFectTime 5 小时 47 分钟前
@dolee #3 捂嘴可是特色
|
 |
10
Kirkcong 5 小时 47 分钟前
@fuchaofather 你用用国外的软件也可以懂。
|
 |
11
wula2333 5 小时 46 分钟前
开源的 nas 有推荐的吗
|
 |
12
kneo 5 小时 44 分钟前 1
你说的不是太准确。
0day 指的是一个窗口期。这段时间可以利用这个漏洞。 细分其实有两个窗口 1. 漏洞发布 - 漏洞被厂商/大众发现 2. 漏洞被厂商发现 - 修复 这两个窗口期都可以算是 0day 。 但是你说的也没错,很多时候指的是一个窗口期。但是第二个窗口期也是可以用的。 但是你提的“发布当天即修复的漏洞”就和 0day 关系不大。要不然是窗口 1 ,要不然是窗口 1+2 ,至于窗口 2 是 0 天还是 N 天其实没关系。 |
|
15
dolee 5 小时 33 分钟前
@PerFectTime 这个确实是,但还没上升到这个层面吧。现在应该还是单纯的团队危机意识不强,危机公关做得差吧
|
 |
17
Gilfoyle26 5 小时 26 分钟前 1
总结就是-------当初选 NAS 省下的钱,都会在未来以一种更难受的方式“花”出去。
所以便宜没好货真不是一句空话。 |
 |
18
aminobody 5 小时 21 分钟前
没有公开披露的洞叫 0-day, 现在算 1-day
|
 |
19
lululau 5 小时 0 分钟前
我知道你说的「发布」,是想说披露,但是「大规模发布」是什么意思。。。
|
 |
20
luxor 4 小时 53 分钟前
0day 的概念来自与 warez ,也就是软件版本发布当天(不到 1 天)就发布的破解版。0day 漏洞与是否公开无关,只要是官方未发布补丁的漏洞都叫 0day 漏洞。
|
 |
21
liubaicai 4 小时 48 分钟前
你说的 nas 的选择是对的。
但你对漏洞的理解,不敢苟同 |
 |
22
allplay 4 小时 43 分钟前
|
|
23
allplay 4 小时 40 分钟前
PVE OMV Debian Docker ( Podman )
什么都有了 |
 |
24
Greenm 4 小时 34 分钟前
这场风波是因为这个所谓的 "0day" 的这个字眼导致的吗? 如果不叫 0day 叫 1day ,那是不是这飞牛官方就做得很好了没有一点问题了? 大家的数据也不会受到影响?
就算回到这个字眼上来,在去年 12 月的时候用户反应受到攻击和被挖矿的时候,官方还一点不知道也没有新版本的修复,那些被攻击的用户受到的难道不叫 0day 了? 我合理怀疑楼主就是飞牛的五毛,纯粹是为了把水搅浑: “看啊他们污蔑飞牛有 0day ,其实那根本不叫 0day ,就是个 BUG 而已,大家不用惊慌。” |
 |
25
zzx06018 4 小时 34 分钟前
开源的风险其实更大,因为开源意味着源码外放,如果有 hacker 盯上,那就是直接白盒
信息搜集的第一步就是找网站信息,第二步就是找相关源码 你这两点我都不太认可。。 |
 |
27
superrichman 4 小时 26 分钟前
|
 |
28
gongym 4 小时 14 分钟前
OP 要是讨论 飞牛 问题,能不能发 nas 节点
|
 |
29
wo8335224 3 小时 39 分钟前
满足 1 和 2 的,请举例!
|
 |
30
chenluo0429 3 小时 35 分钟前 via Android 1
0day 主要是强调漏洞危害的严重性和通用性,厂商应该在 0day ,即立刻对其进行处置。和原理是否复杂无关,甚至和厂商到底用了几天才修复也无关。
在 fn 出补丁之前,这个漏洞就是 0day 。出了补丁之后,这个漏洞就是 n-day 。 正常的处理方案应该第一时间下掉 fnconnect 的,出了补丁之后,也应当屏蔽低于补丁版本的机器的连接 |
 |
31
mercury233 3 小时 26 分钟前
我理解中 0day 主要是强调漏洞的时效价值,即是否可以利用 漏洞披露 -> 开发者修复/安全软件响应 -> 用户更新 之间的时间差来有效地进行攻击,刚披露时价值最高,修复后价值下降,用户都更新了就基本失去价值
|
 |
32
rossroma 3 小时 24 分钟前 2
关于国外月亮圆不圆这个问题我有发言权,老子的 cloudcone vps 现在还没恢复,都已经宕机第 4 天了,官方甚至连一封邮件都没有
|
 |
35
timev 2 小时 16 分钟前
不管什么 day 依旧是严重漏洞。cvss 评估一下 8 分起步
|
 |
36
diudiuu 1 小时 59 分钟前
0 1 2 3 4 5 是重点吗
|
 |
38
Ja22 1 小时 26 分钟前
感觉你是在往 0day 脸上贴金,这是什么很高大上的词么
|
Select Language