登录 注册

关于思源笔记远程伺服是否有更加安全的措施?

本贴最后更新于 230 天前,其中的信息可能已经水流花落

思源笔记存在大量通过网页打开思源笔记输入密码登陆的用户而非客户端使用者,我在思考一个问题,就是登陆页跟密码被截获等泄露情况,被其他人登陆了,自己都不知道,这是否不够安全呢?

想请教各位这类使用思源笔记的朋友们,你们有什么办法提高安全性。

在我使用的一些客户端中,有这么一种方式就是,首次登陆时需要手机验证码,不知开发者可否增加这种安全性措施?或者有更好的方式?

  • 思源笔记

    思源笔记是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。

    融合块、大纲和双向链接,重构你的思维。

    24517 引用 • 100325 回帖
  • Q&A

    提问之前请先看《提问的智慧》,好的问题比好的答案更有价值。

    9259 引用 • 42109 回帖 • 118 关注
汕头 位置 18 回帖
7
3
898 260 514 9 115

相关帖子

被采纳的回答
  • ringx 1 via macOS
    付费者 捐赠者

    你如果是经由公共信道,http 的方式访问你的思源笔记,肯定不是安全的。

    你既然有这方面的顾虑,你就应该使用 VPN 的方式访问你的资源,

    最简单的方式是使用 tailscale/zerotier 这类现成的工具来访问你的笔记,

    最次也应该套一层 https 代理,防止内容被中间人(比如运营商)监控(审查)、修改(插广告)。

    不过这种方式其实不好,因为配置和维护一个证书需要耗费心力和金钱,并且公网访问的方式天然对应用本身的安全性、稳定性是会带来考验的。并且如果是用的公有云可能还会有实名之类的麻烦。

18 回帖
关于思源笔记远程伺服是否有更加安全的措施?

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • muxue
    付费者 捐赠者

    比较好的一个办法是在 nginx 里面配置自签名证书,只有导入了证书的设备才能访问到思源。但是这个技术难度太高了,给小白那是肯定不会配置的。

    感觉思源的伺服确实可以考虑提供更严密的验证方式,比如 auth 两步验证。

    1 回复
  • traveler via Linux
    付费者

    我现在还嫌 SiYuan 的登录太麻烦了,进去就要输入一遍授权码,要是像 memos 那样就好了。人和人真是感情不相通的。

    1 回复
  • fradeet 2 赞同
    付费者

    被截获就是 HTTP 没有加密,搞再多的登录防护那笔记还是照样漏。那样除了加证书什么都不好使。手机验证码更是一大笔开销,除非遇到合规问题以外绝不考虑。

    1 回复
  • Zsiyuan 1 赞同
    付费者

    搭建个私人用的 OpenVPN 就差不多了。

    1 回复
  • muxue
    付费者 捐赠者

    上 HTTPS 是很简单的,本来就需要配置反代,面板里面申请个证书就点几下的事情。

    楼主说的应该是思源现在只有一个简单的密码登录验证,担心会有安全漏洞直接能绕过密码登录进入思源内。而且思源内部没有登录历史记录,也不知道会不会有其他人登录了你的思源。(不过上了反代可以在面版或者 nginx 日志里面看到)

    1 回复
  • fengjiannju
    付费者

    使用 nginx 的双向验证功能。

    2 回复
  • 673971183
    付费者 捐赠者 作者

    能够不输入密码也能确保安全我也想啊,问题是目前没有更好的方式

  • 673971183
    付费者 捐赠者 作者

    没有登陆历史,我觉得有个访问历史也不错,哪个新设备访问了思源笔记的登陆页面,有个提醒也不错,这样自己可以及时知道密码泄露,及时更改密码。

    配证书难不难,费用高不高?有没有相关帖子操作嘞

    1 回复
  • 673971183
    付费者 捐赠者 作者

    配证书难不难,费用高不高?有没有相关帖子操作嘞

  • muxue
    付费者 捐赠者

    SSL 证书是不要钱的,用 Let's Encrypt 提供的免费证书就可以了,不过需要有一个域名,建议自己买一个 top 域名,首年只要 7 元。具体怎么操作可以百度,或者在你的服务器上装 1panel 用面版来设置反代和配置 HTTPS 证书。配置了之后能保证用户和思源服务器之间的链路全是加密信息。

    至于双向证书验证是比较复杂的操作,这是用来验证客户端身份的。咋设置也得百度,我没有写教程。站内好像是有教程的,你也可以搜一下。

  • ringx 1 via macOS
    付费者 捐赠者

    你如果是经由公共信道,http 的方式访问你的思源笔记,肯定不是安全的。

    你既然有这方面的顾虑,你就应该使用 VPN 的方式访问你的资源,

    最简单的方式是使用 tailscale/zerotier 这类现成的工具来访问你的笔记,

    最次也应该套一层 https 代理,防止内容被中间人(比如运营商)监控(审查)、修改(插广告)。

    不过这种方式其实不好,因为配置和维护一个证书需要耗费心力和金钱,并且公网访问的方式天然对应用本身的安全性、稳定性是会带来考验的。并且如果是用的公有云可能还会有实名之类的麻烦。

    1 回复
  • berry

    公网?隐私?思之令人发笑!

  • zxkmm
    付费者 支持者 捐赠者

    用 TLS 的话不可能出现被中间人截获密码的情况。

    1 回复
  • 673971183
    付费者 捐赠者 作者

    昨天捣鼓完了 VPN:wireguard,直接打通了内网,不仅安全,免费,速度还快,已经没有安全顾虑了,谢谢各位网友们,十分感谢/送花花!

  • 673971183
    付费者 捐赠者 作者

    昨天捣鼓完了 VPN:wireguard,直接打通了内网,不仅安全,免费,速度还快,已经没有安全顾虑了,谢谢各位网友们,十分感谢/送花花!

  • 673971183
    付费者 捐赠者 作者

    昨天捣鼓完了 VPN:wireguard,直接打通了内网,不仅安全,免费,速度还快,已经没有安全顾虑了,谢谢各位网友们,十分感谢/送花花!

  • 673971183
    付费者 捐赠者 作者

    昨天捣鼓完了 VPN:wireguard,直接打通了内网,不仅安全,免费,速度还快,已经没有安全顾虑了,谢谢各位网友们,十分感谢/送花花!

  • MarsAuthority via macOS
    付费者

    可以用 Cloudflare 提供的免费服务来实现双向 ssl 认证,还是挺方便的

请输入回帖内容 ...
673971183
汕头
回帖
45
 帖子
12
 积分
1049

近期热议

推荐标签 标签

  • 开源中国

    开源中国是目前中国最大的开源技术社区。传播开源的理念,推广开源项目,为 IT 开发者提供了一个发现、使用、并交流开源技术的平台。目前开源中国社区已收录超过两万款开源软件。

    7 引用 • 86 回帖
  • Quicker

    Quicker 您的指尖工具箱!操作更少,收获更多!

    36 引用 • 155 回帖
  • 工具

    子曰:“工欲善其事,必先利其器。”

    295 引用 • 749 回帖
  • Notion

    Notion - The all-in-one workspace for your notes, tasks, wikis, and databases.

    10 引用 • 76 回帖 • 1 关注
  • 机器学习

    机器学习(Machine Learning)是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。

    83 引用 • 37 回帖
  • Jenkins

    Jenkins 是一套开源的持续集成工具。它提供了非常丰富的插件,让构建、部署、自动化集成项目变得简单易用。

    54 引用 • 37 回帖 • 2 关注
  • 正则表达式

    正则表达式(Regular Expression)使用单个字符串来描述、匹配一系列遵循某个句法规则的字符串。

    31 引用 • 94 回帖 • 3 关注
  • ZeroNet

    ZeroNet 是一个基于比特币加密技术和 BT 网络技术的去中心化的、开放开源的网络和交流系统。

    1 引用 • 21 回帖 • 636 关注
  • Lute

    Lute 是一款结构化的 Markdown 引擎,支持 Go 和 JavaScript。

    27 引用 • 196 回帖 • 27 关注
  • 区块链

    区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。所谓共识机制是区块链系统中实现不同节点之间建立信任、获取权益的数学算法 。

    92 引用 • 752 回帖
  • wolai

    我来 wolai:不仅仅是未来的云端笔记!

    2 引用 • 14 回帖
  • H2

    H2 是一个开源的嵌入式数据库引擎,采用 Java 语言编写,不受平台的限制,同时 H2 提供了一个十分方便的 web 控制台用于操作和管理数据库内容。H2 还提供兼容模式,可以兼容一些主流的数据库,因此采用 H2 作为开发期的数据库非常方便。

    11 引用 • 54 回帖 • 664 关注
  • Laravel

    Laravel 是一套简洁、优雅的 PHP Web 开发框架。它采用 MVC 设计,是一款崇尚开发效率的全栈框架。

    20 引用 • 23 回帖 • 737 关注
  • CSS

    CSS(Cascading Style Sheet)“层叠样式表”是用于控制网页样式并允许将样式信息与网页内容分离的一种标记性语言。

    198 引用 • 541 回帖
  • 禅道

    禅道是一款国产的开源项目管理软件,她的核心管理思想基于敏捷方法 scrum,内置了产品管理和项目管理,同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能,在一个软件中就可以将软件研发中的需求、任务、bug、用例、计划、发布等要素有序的跟踪管理起来,完整地覆盖了项目管理的核心流程。

    6 引用 • 15 回帖 • 54 关注
  • JVM

    JVM(Java Virtual Machine)Java 虚拟机是一个微型操作系统,有自己的硬件构架体系,还有相应的指令系统。能够识别 Java 独特的 .class 文件(字节码),能够将这些文件中的信息读取出来,使得 Java 程序只需要生成 Java 虚拟机上的字节码后就能在不同操作系统平台上进行运行。

    180 引用 • 120 回帖 • 1 关注
  • 架构

    我们平时所说的“架构”主要是指软件架构,这是有关软件整体结构与组件的抽象描述,用于指导软件系统各个方面的设计。另外还有“业务架构”、“网络架构”、“硬件架构”等细分领域。

    143 引用 • 442 回帖 • 2 关注
  • FreeMarker

    FreeMarker 是一款好用且功能强大的 Java 模版引擎。

    23 引用 • 20 回帖 • 463 关注
  • 开源

    Open Source, Open Mind, Open Sight, Open Future!

    409 引用 • 3585 回帖
  • GAE

    Google App Engine(GAE)是 Google 管理的数据中心中用于 WEB 应用程序的开发和托管的平台。2008 年 4 月 发布第一个测试版本。目前支持 Python、Java 和 Go 开发部署。全球已有数十万的开发者在其上开发了众多的应用。

    14 引用 • 42 回帖 • 803 关注
  • MongoDB

    MongoDB(来自于英文单词“Humongous”,中文含义为“庞大”)是一个基于分布式文件存储的数据库,由 C++ 语言编写。旨在为应用提供可扩展的高性能数据存储解决方案。MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似 JSON 的 BSON 格式,因此可以存储比较复杂的数据类型。

    90 引用 • 59 回帖 • 4 关注
  • 京东

    京东是中国最大的自营式电商企业,2015 年第一季度在中国自营式 B2C 电商市场的占有率为 56.3%。2014 年 5 月,京东在美国纳斯达克证券交易所正式挂牌上市(股票代码:JD),是中国第一个成功赴美上市的大型综合型电商平台,与腾讯、百度等中国互联网巨头共同跻身全球前十大互联网公司排行榜。

    14 引用 • 102 回帖 • 324 关注
  • Follow
    4 引用 • 12 回帖 • 5 关注
  • WebSocket

    WebSocket 是 HTML5 中定义的一种新协议,它实现了浏览器与服务器之间的全双工通信(full-duplex)。

    48 引用 • 206 回帖 • 299 关注
  • RIP

    愿逝者安息!

    8 引用 • 92 回帖 • 389 关注
  • Tomcat

    Tomcat 最早是由 Sun Microsystems 开发的一个 Servlet 容器,在 1999 年被捐献给 ASF(Apache Software Foundation),隶属于 Jakarta 项目,现在已经独立为一个顶级项目。Tomcat 主要实现了 JavaEE 中的 Servlet、JSP 规范,同时也提供 HTTP 服务,是市场上非常流行的 Java Web 容器。

    162 引用 • 529 回帖 • 6 关注
  • Outlook
    1 引用 • 5 回帖

最新标签