V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kikione
V2EX  ›  程序员

nacos 注册中心 可以直接 HTTP 请求接口 删除服务,这种操作不觉得危险吗

  •  
  •   kikione · 2021-10-17 16:30:18 +08:00 · 2892 次点击
    这是一个创建于 1129 天前的主题,其中的信息可能已经有所发展或是发生改变。
    12 条回复    2021-10-18 17:30:14 +08:00
    holinhot
        1
    holinhot  
       2021-10-17 17:40:33 +08:00
    加上认证
    hand515
        2
    hand515  
       2021-10-17 21:59:54 +08:00
    1194129822
        3
    1194129822  
       2021-10-17 22:00:09 +08:00
    redis 默认不需要密码,不危险吗
    slyang5
        4
    slyang5  
       2021-10-18 07:07:56 +08:00   ❤️ 1
    1.这种服务不需要暴露给外网。
    jzphx
        5
    jzphx  
       2021-10-18 08:32:59 +08:00
    已经黑进我的内网 ip,说明底裤都已经掉了
    cslive
        6
    cslive  
       2021-10-18 09:30:59 +08:00
    还没被玩坏?之前不是有个帖子说过了,有一个的服务器还被玩坏了,建了好多账户出来
    sampeng
        7
    sampeng  
       2021-10-18 10:54:31 +08:00
    最可气的是你去 github 问,官方的解释是不要放到外网。。。真的是满脸问号。。。
    wolfie
        8
    wolfie  
       2021-10-18 11:52:23 +08:00
    @sampeng #7
    什么场景你需要放到公网?
    wongskay
        9
    wongskay  
       2021-10-18 13:55:40 +08:00
    鉴权
    securityCoding
        10
    securityCoding  
       2021-10-18 14:18:27 +08:00
    业务 api 服务都会挂在网关的,注册中心这种中间件只会在内网不会暴露到公网
    sampeng
        11
    sampeng  
       2021-10-18 16:13:39 +08:00
    @wolfie

    正常操作确实是不会扔在外网去。这个是不容争议的。
    但是,也有不正常操作啊。不是所有公司用东西都是遵循最佳实践。这是其一,其二,内网也有风险,只是没那么大了。那为什么现在都是推荐内网也要走 https 呢?微服务之间能走 tls 就走 tls 。我觉得道理是一样的,做软件架构不能说我在内网是绝对安全的。

    有口子是一回事,没有是另一回事。做好最基本的认证了,我哪怕是 123456 作密码也是有机制,咩有好好的用机制。现在是连我 123456 都不让。。这是两个根本的差别
    BQsummer
        12
    BQsummer  
       2021-10-18 17:30:14 +08:00
    @sampeng “微服务之间能走 tls 就走 tls” 没必要
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5283 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 09:32 · PVG 17:32 · LAX 01:32 · JFK 04:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.