360安全龙虾不慎泄露360子域名的通配符证书和私钥 目前等待吊销
360安全团队已紧急吊销泄露的证书,同时360安全团队也回应此次安全事故,具体请访问:360回应安全龙虾数字证书和私钥泄露 目前已吊销/仅在本地使用无安全风险
据蓝点网网友分享的消息,360 最新发布的 360 安全龙虾不慎将域名证书和私钥同时打包在安全环境中,涉及的域名主要是 *.myclaw.360.cn,该域名负责安全龙虾相关入口的 HTTPS 连接。
360 安全龙虾界面采用定制版 360 安全浏览器,调用地址则是 https://myclaw.360.cn:19798/,要进行 HTTPS 连接那只能将证书和私钥放在本地。
这种加密连接实际上相当于将本机作为服务器使用,所以正确做法可能是使用自签名证书或者内网 IP 地址通过 HTTP 明文访问,否则很难处理证书和私钥问题。
360 工程师在开发安全龙虾时或许也遇到这个问题,所以直接将通配符域名证书和私钥全部放在本地环境中,这虽然可以确保域名正常访问,但也直接泄露私钥文件。
目前蓝点网还不清楚 360 工程师会如何解决这个问题,但想必要么通过局域网 IP 访问,要么就只能使用自签名证书了,至于泄露的证书则应当被立即吊销。
根据安装环境不同,证书路径略有差异:
#Windows 10/11 直装版证书路径: C:\Users\用户名\AppData\Roaming\namiclaw\Application\components\Openclaw\openclaw\credentials #Windows 10/11 WSL 版证书路径: /path/to/namiclaw/components/Openclaw/openclaw.7z/credentials #证书文件分别是: myclaw.360.cn.crt myclaw.360.cn.key
证书信息截图:
-
遭大规模恶意攻击!周鸿祎:360愿为DeepSeek提供安全服务
日前,中国人工智能初创公司DeepSeek在官网连续发布2条公告称,DeepSeek线上服务受到大规模恶意攻击,导致平台注册繁忙。对此,360集团创始人周鸿祎表示:“一家小公司能够惊动美西方这么多力量
-
360软件弹窗广告被指关不完 客服:未提供一键关闭选项
近日,有网友反馈称自己电脑里的360安全卫士软件弹窗不断,对此官方进行了回应。从这位网友的反馈来看,360安全卫士软件中的“弹窗设置”选项多达50余项,而弹窗广告里的关闭选项让人眼花缭乱,无论如何选择
-
网上诈骗为何如此泛滥?360:你要的诈骗方式我都有!
最近知乎对我的邀请一堆都是来自于网络诈骗的相关问题,数量很多,而且牵连诈骗种类甚广。对着这些问题,我沉默了一小会儿,思考到19年的两篇连载的文章《菠菜、色情、壮阳药,360点晴的硬核你想象不到!》、《
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号随时掌握互联网精彩
微信扫码关注公众号