V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  信息安全

Tabby 的 SSH 主机密钥验证形同虚设,完全无法阻止中间人攻击

  •  4
     
  •   drymonfidelia · 51 天前 · 4814 次点击
    这是一个创建于 51 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前在 /t/1074154 问 V 友有没有开源的 SSH 客户端推荐,很多人推荐了 Tabby ,今天闲下来打算试试,这类工具我用前都会先简单测试一下安全性,结果我都还没开始用,第一个测试就发现了大问题 https://github.com/Eugeny/tabby/issues/9955

    40 条回复    2024-09-29 10:20:05 +08:00
    q000q000
        1
    q000q000  
       51 天前
    换到 Windows Terminal 了,使用体验很好。
    drymonfidelia
        2
    drymonfidelia  
    OP
       51 天前
    @q000q000 不好用,没 sftp 传文件麻烦得要死,有的机器我没权限装 rz/sz
    totoro625
        3
    totoro625  
       51 天前
    推荐一个: https://terminal.icu
    Rorysky
        4
    Rorysky  
       51 天前
    这是否是 ssh 本身的行为? 挨个尝试 鉴权方式
    drymonfidelia
        5
    drymonfidelia  
    OP
       51 天前
    @totoro625 这个不开源,连安全检查都做不了
    drymonfidelia
        6
    drymonfidelia  
    OP
       51 天前
    @Rorysky 挨个尝试鉴权方式也绝对不能在主机密钥验证前就把鉴权数据发出去,这样中间人就能直接完成身份验证了
    drymonfidelia
        7
    drymonfidelia  
    OP
       51 天前   ❤️ 1
    我提 issue 用密码验证纯粹是复现方便,公钥验证我没测试,但密码验证这么简单的逻辑都能出问题公钥验证也有这个问题的概率极大
    restkhz
        8
    restkhz  
       51 天前
    做的好,提个 CVE 呗?
    drymonfidelia
        9
    drymonfidelia  
    OP
       51 天前
    @restkhz 已经提了
    cookii
        10
    cookii  
       51 天前 via Android
    不懂技术细节,但我一直用 tabby😂
    DavidXiang
        11
    DavidXiang  
       51 天前 via iPhone
    Tabby 之外好像也没啥好用的 item2 + oh my zsh 我觉得还是 tabby 好用 尤其多个 ssh 管理
    caola
        12
    caola  
       51 天前
    用过 Tabby 感觉不是很好用,之前感觉 WindTerm 还不错,但已经没人维护了,最后还是用回 Xshell+Xftp ...
    BeautifulSoap
        13
    BeautifulSoap  
       51 天前 via Android
    Tabby 同步功能没法正常使用,s3 同步经常动不动丢数据之类的。如果有两个以上客户端的话同步起来是个灾难。然后启用配置文件加密后同步基本就没法正常工作,出的问题更多

    现在暂时 termius ,但这破玩意也难用得要死,一个 ssh 管理工具,ftp 文件管理功能和 ssh 会话竟然是互相独立的也是活久见。要在多个服务器之间倒腾文件麻烦的要死。而且修改文件后不能自动上传,也不知道是哪个天才项目经理想出来的
    ysc3839
        14
    ysc3839  
       51 天前
    Tabby 的 ZMODEM 支持是坏的,之前下载文件总是损坏,最终只能换别的工具。
    wm5d8b
        15
    wm5d8b  
       51 天前 via Android
    WindTerm 呢?够不够安全
    churchmice
        16
    churchmice  
       51 天前
    擦,这属于很严重的安全漏洞了
    Cloud9527
        17
    Cloud9527  
       51 天前
    现在用 xshell 免费版
    yukunyi
        18
    yukunyi  
       51 天前
    我一直用的 tabby.........其他没啥好用的
    xcsoft
        19
    xcsoft  
       51 天前
    试试 termius 支持 sftp, port forward, xxx 还挺好用的
    xcsoft
        20
    xcsoft  
       51 天前
    @drymonfidelia 可以直接用 sftp 命令啊,就是没有 GUI 直观
    shellic
        21
    shellic  
       51 天前
    用来用去还是 XShell
    txwdcom
        22
    txwdcom  
       51 天前
    @caola WindTerm 一直在更新,只是闭源不更新源码了
    FengMubai
        23
    FengMubai  
       51 天前
    @drymonfidelia #2 git for windows 集成了 scp 命令
    xiwh
        24
    xiwh  
       51 天前
    @BeautifulSoap @ysc3839
    推荐一下个人开发的工具 HexHub 。
    SFTP 体验可以做到接近于本地文件管理器的体验,SFTP 和 SSH 共用一个会话,支持跨服务器直接复制粘贴文件/文件夹,
    另外 ZMDOEM 协议支持也不错,可以跑满网速稳定传输小于 4G 的文件,传输速度和稳定性吊打基于 zomdem.js 的客户端
    lairdnote
        25
    lairdnote  
       51 天前
    还是 openssh + tmux 用着
    ttionya
        26
    ttionya  
       51 天前
    XShell 免费版,看推荐的人不多,是这个有啥问题么
    nmap
        27
    nmap  
       51 天前
    用了很多年,xshell 才是王者,其他都试过,都不顺手
    qiaofanxing
        28
    qiaofanxing  
       51 天前
    XShell 我感觉挺好用的,有坑吗?
    xiaopanglian
        29
    xiaopanglian  
       51 天前
    xShell 的问题是,上传文件还需要单独使用 XFTP ,没整合到一起
    CatCode
        30
    CatCode  
       51 天前   ❤️ 1
    @ttionya xshell 公司被黑客攻击过,在软件里面植入了后门,不过后来被发现了,xshell 公司修复了。
    新版本应该没啥问题,但是很多人就是害怕。
    catamaran
        31
    catamaran  
       51 天前   ❤️ 1
    @xiaopanglian 免费版强制更新比较讨厌
    WashFreshFresh
        32
    WashFreshFresh  
       51 天前
    @xcsoft #19 termius 的 ftp 及其鸡肋,竟然不支持从别的窗口拖拽上传文件,必须从左边打开的窗口上传...
    xcsoft
        33
    xcsoft  
       51 天前
    @WashFreshFresh ?可以直接从 Finder 拖文件过来上传啊
    SbloodyS
        34
    SbloodyS  
       50 天前
    作者已经修复了,速度挺快的
    RobinFai
        35
    RobinFai  
       50 天前
    https://github.com/Eugeny/tabby/commit/1c077147acd0a6ec9f8ee80d83a3e9688fbb9444

    正在看这是个啥问题,结果发现 master 是正常的,之前安装的老版本有 op 反馈的问题。

    去安装了最近新的 1.0.214 ,发现修复了。 追着代码看了下记录,这个修复是真热乎
    NorthSecond
        36
    NorthSecond  
       50 天前
    @RobinFai 只能说看起来社区反应还是很快的,属于是不幸中的万幸系列
    unidotnet
        37
    unidotnet  
       50 天前
    我已经从 iterm2 转到 warp 了。iterm2 目前就用来做 pumas run
    Pteromyini
        38
    Pteromyini  
       50 天前
    看到这个问题修复的真快,也得亏逻辑清楚,一行代码修复
    liuidetmks
        39
    liuidetmks  
       50 天前
    都去追求花里胡哨,这种基本功能竟然没有经过严谨的测试。
    molezznet
        40
    molezznet  
       45 天前
    更新到最新版了, 不过用公钥多些。
    确实既支持 sftp 整合,又支持 szrz 的不多了
    terminal ,xshell ,windterm 这些来回用了遍。 还是固定 tabby 了,利用 portable 模式,也解决了 config 同步问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5368 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:18 · PVG 15:18 · LAX 23:18 · JFK 02:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.