【HUB站】一个比较重要的通知,希望在hub站添加过渠道的佬友都进来看下
- 内容介绍
- 文章标签
- 相关推荐
如图,我删除了原有我的上传出错的api站点,想着api都是通过hub平台调用,应该不会扣我的闲置api(sub2中转站) [image] 结果是,我刚回到家,一看 [image] 直接被调用了60多刀,且钱包没有任何增加(我只是选了公开,没有开启,且于几小时内从站点移除了这个渠道) 现有问题 1.hub为什么允许用户绕开平台api直接调用,且移除原有渠道后平台api仍然可用? 现在…
根据佬友的反馈,也经过了一夜的代码审查,发现HUB站确实是有泄露各位添加进来的渠道的baseurl和apikey的可能性的,已经对此作了修复。
建议大家都将上游的apikey都删除重建一下,然后再修改一下hub站里渠道的key.
希望大家都能尽早避免有可能的损失,对于已经有所损失的佬友也说声抱歉,后续看看如何给与补偿
@neo 始皇大大能不能给设个置顶
网友解答:--【壹】--:
重点不是删除hub的key,是你上游api的key,特别是官KEY,估计普通中转站的key,别人也看不上
--【贰】--:
现在hub站是正常的吗?刚刚添加了个zai的渠道,测试没问题,但是点击启用就一直卡着不动呢
PixPin2026-04-2609-17-331568×1274 114 KB
--【叁】--:
阿哲,那这上官key渠道的佬损失巨大了。
--【肆】--:
佬,还有一个问题,我删除的key,下次创建用相同的名称,会提示名称已存在,好像缓存没有被删除或者是伪删除哎,有别的佬遇到嘛
--【伍】--:
删除渠道删不掉是什么鬼
image768×418 22.9 KB
佬看到了帮我删一下
--【陆】--: 老白:
根据佬友的反馈,也经过了一夜的代码审查
一整夜排查,佬辛苦了,赶紧去休息会要紧!
--【柒】--: 老白:
希望大家都能尽早避免有可能的损失,对于已经有所损失的佬友也说声抱歉,后续看看如何给与补偿
平台上线前,是否有做过安全性方面的评估呢?
是否应该公开hub站的源码,供佬友们审计
--【捌】--:
这是坏人挖洞挖到了佬友身上了 因为贫穷让我没有使用到hub站从而躲过一劫。还是强烈谴责一下利用的坏人,这种不是应该及时反馈和上报吗。建议多打些日志点,以后再发现类似给他揪出来。
--【玖】--:
辛苦了,好好继续打磨一下吧。
这次我没受到什么损失,我也只是给自己的newapi开了个单独的key挂到了hub上,也在自己的newapi设了限额。
但是该骂还是得骂,作为一个官方背书的站点,还是得做好各个方面的工作,起码要比普通的个人站做得更好才能站得住这个位置。
希望再接再厉让佬友们能放心用,能真心的愿意支持,加油。
--【拾】--:
我是说怎么回事我都把渠道停用了,但是我还是发现有API的调用
--【拾壹】--:
额,这个应该是把权限收的太厉害了,稍等,这边处理下
--【拾贰】--:
好像是没有删除的选项的吧,只有归档和禁用
不过还是希望加个删除的选项耶
--【拾叁】--:
image703×494 26.8 KB
编辑 API Key,编辑渠道好像不能选择了,没有内容
--【拾肆】--:
去改了,发现自己的渠道没有被人白嫖,但是也没有被人使用过~
不知道是该开心好使该失落。。。
--【拾伍】--:
@laobaile
是否有开源计划,我个人认为开源有助于尽早发现安全问题并修复
linuxdo元宇宙的大部分项目目前也都是开源的(除评分站等站点)
--【拾陆】--:
image894×490 6.16 KB
网站挂了
--【拾柒】--:
呃,好的,收到,这就去改。。我还没关注,我说咋渠道看起来只有测试调用的量。
--【拾捌】--:
厉害,,不过偷key的人也有点太可恶了。
--【拾玖】--:
应该是刻意的,目前看到的渠道,肯定是去将之前佬友开源的原项目拿去分析了,不然不可能知道对应的字段的
如图,我删除了原有我的上传出错的api站点,想着api都是通过hub平台调用,应该不会扣我的闲置api(sub2中转站) [image] 结果是,我刚回到家,一看 [image] 直接被调用了60多刀,且钱包没有任何增加(我只是选了公开,没有开启,且于几小时内从站点移除了这个渠道) 现有问题 1.hub为什么允许用户绕开平台api直接调用,且移除原有渠道后平台api仍然可用? 现在…
根据佬友的反馈,也经过了一夜的代码审查,发现HUB站确实是有泄露各位添加进来的渠道的baseurl和apikey的可能性的,已经对此作了修复。
建议大家都将上游的apikey都删除重建一下,然后再修改一下hub站里渠道的key.
希望大家都能尽早避免有可能的损失,对于已经有所损失的佬友也说声抱歉,后续看看如何给与补偿
@neo 始皇大大能不能给设个置顶
网友解答:--【壹】--:
重点不是删除hub的key,是你上游api的key,特别是官KEY,估计普通中转站的key,别人也看不上
--【贰】--:
现在hub站是正常的吗?刚刚添加了个zai的渠道,测试没问题,但是点击启用就一直卡着不动呢
PixPin2026-04-2609-17-331568×1274 114 KB
--【叁】--:
阿哲,那这上官key渠道的佬损失巨大了。
--【肆】--:
佬,还有一个问题,我删除的key,下次创建用相同的名称,会提示名称已存在,好像缓存没有被删除或者是伪删除哎,有别的佬遇到嘛
--【伍】--:
删除渠道删不掉是什么鬼
image768×418 22.9 KB
佬看到了帮我删一下
--【陆】--: 老白:
根据佬友的反馈,也经过了一夜的代码审查
一整夜排查,佬辛苦了,赶紧去休息会要紧!
--【柒】--: 老白:
希望大家都能尽早避免有可能的损失,对于已经有所损失的佬友也说声抱歉,后续看看如何给与补偿
平台上线前,是否有做过安全性方面的评估呢?
是否应该公开hub站的源码,供佬友们审计
--【捌】--:
这是坏人挖洞挖到了佬友身上了 因为贫穷让我没有使用到hub站从而躲过一劫。还是强烈谴责一下利用的坏人,这种不是应该及时反馈和上报吗。建议多打些日志点,以后再发现类似给他揪出来。
--【玖】--:
辛苦了,好好继续打磨一下吧。
这次我没受到什么损失,我也只是给自己的newapi开了个单独的key挂到了hub上,也在自己的newapi设了限额。
但是该骂还是得骂,作为一个官方背书的站点,还是得做好各个方面的工作,起码要比普通的个人站做得更好才能站得住这个位置。
希望再接再厉让佬友们能放心用,能真心的愿意支持,加油。
--【拾】--:
我是说怎么回事我都把渠道停用了,但是我还是发现有API的调用
--【拾壹】--:
额,这个应该是把权限收的太厉害了,稍等,这边处理下
--【拾贰】--:
好像是没有删除的选项的吧,只有归档和禁用
不过还是希望加个删除的选项耶
--【拾叁】--:
image703×494 26.8 KB
编辑 API Key,编辑渠道好像不能选择了,没有内容
--【拾肆】--:
去改了,发现自己的渠道没有被人白嫖,但是也没有被人使用过~
不知道是该开心好使该失落。。。
--【拾伍】--:
@laobaile
是否有开源计划,我个人认为开源有助于尽早发现安全问题并修复
linuxdo元宇宙的大部分项目目前也都是开源的(除评分站等站点)
--【拾陆】--:
image894×490 6.16 KB
网站挂了
--【拾柒】--:
呃,好的,收到,这就去改。。我还没关注,我说咋渠道看起来只有测试调用的量。
--【拾捌】--:
厉害,,不过偷key的人也有点太可恶了。
--【拾玖】--:
应该是刻意的,目前看到的渠道,肯定是去将之前佬友开源的原项目拿去分析了,不然不可能知道对应的字段的