后续： ToDesk 存在安全漏洞，可无密码远程控制设备，请谨慎使用

2021-07-10 16:11:00 +08:00

2le

原帖地址： https://v2ex.com/t/788413

通过论坛和 ToDesk 团队负责人取得联系后，我们进行了深度测试和本地验证，发现的确是一次乌龙事件。具体事实如下：

ToDesk 使用 chacha20 and Poly 1305 端到端加密，不存在无密码就可以连接的情况
ToDesk 连接设备时，会优先查找保存的历史连接记录
ToDesk 早期版本的“记住历史连接密码”密码是默认勾选的
ToDesk 新版本去掉了这个默认选项
ToDesk 新版本无法在 UI 下拉菜单列表中显示老版本的数据库连接记录

本次产生乌龙的原因是：我使用了 ToDesk 旧版本（默认配置），在升级新版本后，软件 UI 并没有把老版本的连接记录显示在下拉菜单中，因此产生了误会。

9761 次点击

所在节点

信息安全

47 条回复

zxCoder

2021-07-10 16:15:20 +08:00

啊这

xingshu1990

2021-07-10 16:16:06 +08:00

坐等一群人，过来阴阳怪气。

wunonglin

2021-07-10 16:20:50 +08:00

这也是 ui 的一个 bug

Pogbag

2021-07-10 16:23:16 +08:00

尴尬了😅

burning

2021-07-10 16:24:23 +08:00

😓

wangyuanguang

2021-07-10 16:35:12 +08:00

不过这个软件官方对待问题的态度也是蛮有大厂风范的，深得精髓

cdlnls

2021-07-10 16:41:03 +08:00

建议也在原帖上贴一下后续

well775397252

2021-07-10 16:48:43 +08:00

东西还没做好，就开始学 teamview 。早就不用了

opentrade

2021-07-10 16:49:11 +08:00

总算尘埃落定

billlee

2021-07-10 16:50:55 +08:00

这也不算是乌龙吧，保存了 credential 却没有显示，也是安全漏洞了

coderluan

2021-07-10 16:59:06 +08:00

"事情的起因是公司程序员在 V2EX 划水时看到了这个帖子标题,一时没有控制好个人情绪,擅自发布了带有个人负面情绪的回帖"

所以是程序员说给人律师函, 所以也是程序员假装路人反串? 所以也是一个程序员让人骚扰站长删帖? 贵公司程序员这么牛逼吗? 建议把你把 CEO 职务让给这个程序员好了.

labulaka521

2021-07-10 16:59:54 +08:00

谁还敢用?，今天可以查看用户连接记录并曝光😅，明天就敢直接查看你连接画面😅

interim

2021-07-10 17:06:26 +08:00

@labulaka521 不给你连接记录又无法自证清白，给了你又可以用你现在的角度喷。键盘真是怎么敲都有理。

tsukino

2021-07-10 17:09:50 +08:00

态度有问题（反正就是你错了）

reiji

2021-07-10 17:18:22 +08:00

我代入了一下自己，如果自己写的东西被人误会估计也会憋不住，毕竟是个理工直男，所以还是得用公关流程和内部条例来限制啊

yanzhiling2001

2021-07-10 17:24:30 +08:00

把这三个帖子都保存成了 pdf 文档

www.cowtransfer.com/s/c72391a31e2b4e

www.cowtransfer.com/s/c3f483011ea648

www.cowtransfer.com/s/676d57d9c9324e

cxxxxx

2021-07-10 17:26:42 +08:00

蚌埠住了

B4a1n

2021-07-10 17:35:05 +08:00

你们最大的问题是还遗留着小作坊的态度，做加速器的时候有人喷你们，你们技术人员跟人撕，ToDesk 刚收费时，你们客服跟客户撕，98K 作为产品负责人，觉得一个不存在的东西影响到了自己辛辛苦苦做出来的产品，控制不住情绪开撕，这可以理解，但是你们现在的用户量跟之前做加速器时的用户量可不是一个等级的。早点把客服、公关这两个部门搞一搞，从 3.0 开始到现在付费用户也不少了。

oneisall8955

2021-07-10 17:36:04 +08:00

完结撒花～

B4a1n

2021-07-10 17:39:18 +08:00

@PUBG98k 另外建议在 todesk 的软件主界面增加 BUG 反馈、客服联系的接口，上次跟你们讨论过产品后后续有些问题想找你们反馈找了半天都没找到反馈的地方，BUG 反馈邮件写了一半觉得麻烦放弃了，你们客服跟机器人一样只会说我们的功能就是这样呢、我们的软件的设计就是这样呢、我们收费方式就这样呢、您可以买企业版呢这种屁话

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/788723

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.