时隔一年 Chevereto V4.0.7 开心版!

gyhl

支持支持，在免费版的基础上汉化本地化，和盗版开心版也是有区别的吧

mgwx

牛逼 难办就别办了 （乌鸦掀桌.jpg）

cssx

干的漂亮

Chevereto

Nyarime 发表于 2023-3-2 23:56
https://bbs.idc.moe/thread-31-1-1.html

您的指南是错误的，违反了用户安全。 1）您允许访问多个PHP文件，2）展示正在使用的第三方库版本。

在官方文档中是安全代码：https://v4-docs.chevereto.com/application/stack/web-server.html#nginx

您为什么要删除这些安全元素？ 您在没有对负面影响的情况下触摸了多少件事？

您没有资格向其他人提供此软件。 您没有使用软件或必要系统的经验。

wange008

mark，以观后效

honey

牛皮大佬

Chevereto

阐明 Nyarime 如何暴露用户安全：

1. Chevereto是一个允许上传文件的PHP系统。 重要的是，系统绝不允许执行 PHP 文件，但 /index.php（应用程序入口点）除外。 Nyarime 的指令允许在文件系统上任意执行任何脚本。 这使得系统容易受到各种攻击媒介的攻击。

2. 您公开 composer.json 文件，该文件指示当前使用的软件库的版本。 由于缺少更新，此信息可能会被恶意用于检测易受攻击的系统。

别浪费我们的时间了。

Chevereto

尼亚里姆：

我已经清楚地解释了您的 NGINX 服务器伪静态规则中的安全问题所在，从您的评论中可以明显看出您不知道我在说什么。 问题是在 Web 服务器下对这些资源的公共访问，这是您提供的服务器规则所允许的。

这些文件存在于应用程序的文件系统中是正常的，问题是当这些文件在不需要的上下文中可用时。 但你不知道，你错误地认为如果你不知道，那是因为它不相关。 不幸的是，您在系统中没有必要的级别来继续任何争论。

我希望没有人天真到相信这个人分发的软件。