绿联私有云 NAS 存在中间人攻击风险，官方泛域名证书可被下载

就还挺逆天的

好像已经吊销了? https://crt.sh/?id=13146419955&opt=ocsp
不过绿联这是从哪里找的这帮人才

偷偷用不好嘛..

这牌子的 nas 真的牛

群晖做得其实没啥好。

架不住在座的各位都是垃圾……

@geniussoft 愿闻其详？看看吃绿联这碗饭的都是些什么货色？

@lxh1983 你是不是看岔了

大厂都是靠有经验的人把关，草台班子干活。绿联感觉从上到下全是草台班子

@ztmzzz 还真是，对不住了哥们

所以其他在内网提供 https 服务的产品是怎么做的？

要达成内网攻击条件还是挺苛刻的，能进入到内网劫持 DNS 那都拿下整个内网权限了。

隔壁群晖的做法要么自己配置内网域名和证书，否则就走自签证书浏览器隔段时间就弹警告。可能绿联觉得这个会让他们的影音用户懵逼吧。

@coolcoffee 同一个 L2 局域网下即可。arp 攻击挟持网关 mac dns 抢答

绿联 NAS 又有瓜啊，笑死，给人一种全员新手的感觉

绿联就是做外壳的，不要指望有多少技术含量

@coolcoffee 网管有内网权限，正常情况也看不了老板 NAS 的资料，利用这个漏洞可以看到了

@neroxps 现在企业级路由器都有防 ARP 攻击的功能，还能这样轻松做 ARP 攻击吗？ 十年前我确实拿是一部 Android 手机把整个局域网的流量都给劫持了。


@fenglong 我觉得公司选用绿联，那么这个公司和绿联一样也是草台班子。限制网管的更多的是靠职业道德和刑法，因为老板和公司老板同事大部分都不懂这块的，网管可以轻松的植入根证书或者直接看 DLP 的所有监管数据。总会有人有网络最高权限的。

买绿联 NAS...说难听点,脑子不好...

为啥下载的证书包含私钥，用途是啥？下载不到私钥就没问题了吧

没事没事，给司波图再花点钱让他帮洗洗地不就没事了，办法不限于说绿联系统开放可以刷黑裙，绿联大气有问题支持退款，绿联自主研发 debian 系统马上上线，测试版绿联系统强的离谱，足够了

@whileFalse #10 单域名，然后这个域名在公网只显示向导，不提供服务

@justtoxic 秀儿

客服的工资估计不行，或者大家都在摸鱼摆烂。 哈哈，巴不得你搞点事，然后给点压力上面。 要么干，要么解散，别耗着了。

@coolcoffee #16 网关上的 arp 保护只能防止自己被欺骗吧，子网里的设备又不靠网关互访。

@bigtan 说的太对了，这类似于开发商买了一个小区，钥匙都是一把一样离谱

"你不犯法怕什么数据共享"

我虽然没买多少绿联产品，但这品牌在我这里已经完全黑化了，全靠 v2er 连续多年对绿联的持续反馈，从一般线材到扩展坞到 nas ，在这搜绿联的帖子真的很精彩，让我获得了充分认知

一个硬件公司，不认可软件价值。死抠硬件的几毛利润。

我说了好多遍了，绿联家除了数据线啥也不能买

@cz5424 问题的关键 不是大陆没人愿意为软件买单么，黑苹果 黑群晖 不就是这么玩起来的么

现在澄清 ugnas.cloud 这个域名是体验机专用了。但是以前 ugnas.com 这个域名的私钥也可以被下载，目前

31 povsister      Jul 6, 2024 via iPhone 符合我对外包软件的想象