使用第三方CFP的安全问题，给正在白女票CF pro的提个醒

2019年 · 发表于 2020-8-13 21:21:08

Nvmz 发表于 2020-8-13 20:56
并不行换了也能拿到最新的

CF这个设置逻辑有点太不合理了吧，这么重要的权限控制在别人手上。。。

Nvmz · 发表于 2020-8-13 21:23:52

liugogal 发表于 2020-8-13 21:11
这种要是被滥用了是否可以直接向CF官方举报

这是把双刃剑吧没了CFP那以后免费的CF pro估计就成历史了所以发出来提醒下大家找个靠谱的授权不要到处乱授权就好了

2019年 · 发表于 2020-8-13 21:25:28

chxin 发表于 2020-8-13 21:06
最简单的，重新注册一个就完事了

之前测试，换了API KEY，CFP就不能控制了。不然改密码也能控制。
但一直不知道他还可以得到最新的API KEY

lijihede · 发表于 2020-8-13 21:29:35

吓得我赶紧注册一个新的CF,把域名全转移到新的账号了。

Nvmz · 发表于 2020-8-13 21:35:21

2019年发表于 2020-8-13 21:25
之前测试，换了API KEY，CFP就不能控制了。不然改密码也能控制。
但一直不知道他还可以得到最新的API KEY ...

实测我更新多次API KEY 用 user_lookup 方法依然拿到的是最新的

qmsht · 发表于 2020-8-13 21:37:58

本来就不用密码，看看acme.sh里面CF两种方式操作验证域名

十里山路不换 · 发表于 2020-8-13 21:39:00

这种情况只能去官方论坛反馈

Nvmz · 发表于 2020-8-13 21:46:16

qmsht 发表于 2020-8-13 21:37
本来就不用密码，看看acme.sh里面CF两种方式操作验证域名

密码倒无所谓 key能拿到也无所谓坑的是无法取消授权后续能一直拿key

hjz · 发表于 2020-8-13 21:49:37

CloudRaft 发表于 2020-8-13 20:17
取消授权的方法就是接入一家自己信任的CFP，比如接入Plesk之类的大厂的话相对就比较安全了（常说的Plesk CF ...

云筏大厂值得信赖

，不过https://cf.cloudraft.cn/似乎在国内打不开，希望大佬看看。

hjh142857 · 发表于 2020-8-13 22:22:11

确实有点坑啊。。我之前用大号给小号开管理员授权，然后cfp登陆小号来管理的，配置完就取消授权。。。关键是我记不清大号有木有在哪家cfp登陆过了

		自动登录	找回密码
密码			注册

[疑问] 使用第三方CFP的安全问题，给正在白女票CF pro的提个醒