全球主机交流论坛

标题: 我发现好多网站都是直接把密钥放前端 [打印本页]

---

作者: e4j    时间: 2023-11-5 19:33
标题: 我发现好多网站都是直接把密钥放前端
我看有不少正规站也是直接把腾讯云/阿里云的密钥直接放前端
有的是子账号密钥限制权限了，大多都是直接根账号权限
这些公司就不怕泄露后丢失数据吗

---

作者: 易小萌    时间: 2023-11-5 19:35
没出现过信息泄露这些公司是不会知道的

---

作者: NVMe    时间: 2023-11-5 19:39
前端公鑰、後端私鑰吧

---

作者: caigou    时间: 2023-11-5 20:05
确定一下是公私还是私钥

---

作者: hardwar    时间: 2023-11-5 20:09
举个栗子 让mjj玩玩

---

作者: e4j    时间: 2023-11-5 20:09

caigou 发表于 2023-11-5 20:05
确定一下是公私还是私钥

我不确定，反正是可以直接操作桶内容，还可以用api操作整个账号的资源

---

作者: e4j    时间: 2023-11-5 20:12

hardwar 发表于 2023-11-5 20:09
举个栗子 让mjj玩玩

诈骗网站的发过好多个了，正规的就不发了，出问题就废了

---

作者: 99999    时间: 2023-11-5 20:12
密钥直接放前端可以直接下载吗？？

---

作者: e4j    时间: 2023-11-5 20:17

99999 发表于 2023-11-5 20:12
密钥直接放前端可以直接下载吗？？

前端html代码里

存储桶里还有微信支付的密钥什么乱七八糟的

---

作者: mimiphp    时间: 2023-11-5 20:39
https://help.aliyun.com/zh/ram/u ... e-an-accesskey-pair
根据官方文档介绍，accesskeysecret是需要保密的！你说的这个情况一看就是前端程序员主导的项目！目前更多公司都是前端程序员主导项目，甚至多一次后端api请求对于他们来说都是不可原谅的性能消耗！所以从前端理解，直接能请求阿里官方api，为什么要后端接口单独支持？估计他们还觉得有云数据库，都是js操作拿数据，后端还有必要写sql语句？云数据库不比你单机数据库强大？等等思想在很多公司都是存在的！所以密钥放前端也是完全可以理解的了

---

作者: caigou    时间: 2023-11-5 22:34

e4j 发表于 2023-11-5 20:09
我不确定，反正是可以直接操作桶内容，还可以用api操作整个账号的资源

这个叼，用匿名信箱给开发者联系一下吧，或者是当不知道了。

就怕好心被他们反口咬一波。

---

作者: lili    时间: 2023-11-6 02:12
一般情况下都是安全的

---

作者: hollc    时间: 2023-11-14 14:34
这个刚好看过分析。上传有两种方法：一种是直接用户浏览器上传，另一种是上传到网站服务器再由网站服务器上传到oss。第二张成本很高，对网站服务器压力大，所以大家就都采用第一种。但第一种也不是没有安全的办法，就是通过后端生成一个一次性token，前段用这个token再上传到oss。至于为什么都是明文秘钥放前段，可能还是钱没给够，程序员不想给自己找麻烦

---

作者: jimz    时间: 2023-11-16 10:11

e4j 发表于 2023-11-5 20:17
前端html代码里

存储桶里还有微信支付的密钥什么乱七八糟的

厉害了都

---

作者: Hozoy    时间: 2023-11-16 10:30


之前有的app人脸认证上传图片到oss，然后密钥什么的都在客户端里面存的

---

作者: 9501767a    时间: 2023-11-16 11:17
那你以为每年几百T资料是怎么可以在网上随便下的

---

作者: Crownsecular    时间: 2023-11-16 11:41
这不收集一波偷偷做个图床

---

欢迎光临 全球主机交流论坛 (https://sunk.eu.org/)

Powered by Discuz! X3.4