时隔一年 Chevereto V4.0.7 开心版!

gyhl

支持支持，在免费版的基础上汉化本地化，和盗版开心版也是有区别的吧

mgwx

牛逼 难办就别办了 （乌鸦掀桌.jpg）

cssx

干的漂亮

Chevereto

Nyarime 发表于 2023-3-2 23:56
https://bbs.idc.moe/thread-31-1-1.html

您的指南是错误的，违反了用户安全。 1）您允许访问多个PHP文件，2）展示正在使用的第三方库版本。

在官方文档中是安全代码：https://v4-docs.chevereto.com/application/stack/web-server.html#nginx

您为什么要删除这些安全元素？ 您在没有对负面影响的情况下触摸了多少件事？

您没有资格向其他人提供此软件。 您没有使用软件或必要系统的经验。

wange008

mark，以观后效

honey

牛皮大佬

Nyarime

Chevereto 发表于 2023-3-3 18:33
您的指南是错误的，违反了用户安全。 1）您允许访问多个PHP文件，2）展示正在使用的第三方库版本。

在官 ...

一个ReWrite伪静态规则有啥好安不安全的，再说代码能不能用、安不安全，我想发布了那么久圈内总有会php的大佬审计过，（如果有藏东西危害安全，一年前我早该被骂死了）。

我觉得没有什么官不官方，既然这个代码已经被我修改，那么使用我修改的版本就建议采用我提供的方式进行部署，无可厚非。

至今你从未正面回复我，甚至一年前在向github提交dmca请求之前，也没有与我沟通下架资源。而是直接将我封禁使得我没有联系方式与你沟通，请为你的错误买单，感恩。

Chevereto

阐明 Nyarime 如何暴露用户安全：

1. Chevereto是一个允许上传文件的PHP系统。 重要的是，系统绝不允许执行 PHP 文件，但 /index.php（应用程序入口点）除外。 Nyarime 的指令允许在文件系统上任意执行任何脚本。 这使得系统容易受到各种攻击媒介的攻击。

2. 您公开 composer.json 文件，该文件指示当前使用的软件库的版本。 由于缺少更新，此信息可能会被恶意用于检测易受攻击的系统。

别浪费我们的时间了。

Nyarime

Chevereto 发表于 2023-3-4 01:00
阐明 Nyarime 如何暴露用户安全：

1. Chevereto是一个允许上传文件的PHP系统。 重要的是，系统绝不允许执 ...

1. 如果不能执行PHP文件，那么还他妈运行个p。
而且特别点名 /index.php 的话，那我们看看会使用到什么。首先访问网站时会引导至 /app/legacy/entrypoints/index.php ，其次就是/../load/php-boot.php 这与您的一模一样

我们再来看引用的下一个文件/loader.php，这里我们也完全一致

您也别浪费我的时间了，除了授权部分给你扬了，其他除了改你这个狗屁注释我啥都没碰

2. 我公开 composer.json 问题，您自己公开那他妈更不用说了吧？
你这个V4的代码目前已经在GitHub上开源，并且 /app 目录里的 composer.json 自己都暴露了，此信息要不你先删我再跟您一块删？

即使尼哥你安全措施啥都没做，人家做网站的不会搞个cdn做缓存的，要有安全问题waf先拦下来了，还用得着你修正这个东西？那你这么说，白**GitHub提供下载，背地里盈利你还要脸了？

再次奉劝你别浪费我时间，感恩。

Chevereto

尼亚里姆：

我已经清楚地解释了您的 NGINX 服务器伪静态规则中的安全问题所在，从您的评论中可以明显看出您不知道我在说什么。 问题是在 Web 服务器下对这些资源的公共访问，这是您提供的服务器规则所允许的。

这些文件存在于应用程序的文件系统中是正常的，问题是当这些文件在不需要的上下文中可用时。 但你不知道，你错误地认为如果你不知道，那是因为它不相关。 不幸的是，您在系统中没有必要的级别来继续任何争论。

我希望没有人天真到相信这个人分发的软件。