clash 信息安全提醒，请勿把 clash 暴露在公网环境

偶尔看到有被刷流量的，就是这种吧

不开局域网共享 就不会暴露的吧

啊这，刚知道 clash 这个 api 后台居然是可以不设置密码的，

这个应该订阅链接不会泄露吧

换端口 加密码：
external-controller: :9938
secret: pa$$wd

应该看不到具体的节点信息吧，

external-controller: 10.0.0.11:7777
bind-address: 10.0.0.11

看了一下 clash 的 restful api ，顶多泄露日志信息和配置信息，但是不会泄露具体的订阅信息和节点信息，但是可以通关 api 修改相关配置

阿这

@lieyan 所以说是不是没事儿奥，老哥

家宽不开公网的话，没这个问题吧

别暴露在公网就可以了。

最新版已经修复这个 bug 了
其实就是一个远程执行漏洞
7 楼说的在配置文件里修改端口就可以避免这一问题。

@cxxlxx
@d873139022
@lieyan
clash REST api 支持 CORS 所以就有问题了。因为你可以通过 yacd 来控制你的 clash, 比如增加一个 proxy-provider( fetch(':9091', {method: 'PUT', body: {一段恶意程序}} 这样恶意程序可以下载到电脑的任意位置（路径穿越漏洞）

参考：
https://github.com/Fndroid/clash_for_windows_pkg/issues/3891
https://hostloc.com/thread-1176031-1-1.html

修改端口没有用，页面上的搜索结果全是扫描出来的
@garipan
1. 不暴露在公网
2. 加密钥

@estk 开了公网也没事 除非在路由器端口转发 映射出去了

@blankmiss #16
感觉中招的都是服务器运行 clash ，并且开了 9090 端口

可能是没开 IPv6 防火墙

看了下接口，最多泄露节点的昵称，不会泄露节点信息。不过流量运行日志是可以看到连接情况。

clash 一系的安全性本来就差，设计之初就不注重安全，大量的配置都是默认不安全的，像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆，基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭，甚至有些加强安全性的 pr 也不合。
还有什么闭源版本、闭源的 gui 。闭源软件没问题，但无法商业化的程序闭源意味着什么我就不说了。
在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。

@Jirajine 麻烦问下有没有相较于 Clash 安全性更有保障的产品推荐呢？ Windows 和 OpenWRT 上使用的

@Jirajine 求推荐

@Jirajine https://github.com/v2fly/v2ray-core 这个如何？

Clash 有开源的 Meta 内核的

@yll #10
@lieyan #8
有问题，还是大问题。
看油管这个视频 watch?v=4AnapDDMlyI

@kingnopwang @superchijinpeng @leo97
要安全性的首先就是在 you know what you're doing 的前提下自己手动编写配置文件，确保程序的行为都是你已知且可控的。
服务器 /路由器建议直接用协议原版的程序，自己手写配置文件 /模板，或者自己写脚本更新订阅并转换格式，现在有 chatgpt 这件事方便多了。
客户端使用协议原版程序作为内核的话可以自己 review 一下 gui 生成的配置，不符合预期的改软件设置。

9091 端口有密码的。。

把 MongoDB 放在公网上且没啥保护措施的人大把大把

@Jirajine #20 老哥有什么推荐吗？

@mohumohu 你试试加 /proxies

@danbai 好吧没有具体信息

@idealhs 你是不是搞混了 cfw 和 clash

@DemoJameson 我觉得你才是两个都搞不清楚的人。cfw 作为一个 GUI 本身从未提供过对 meta 内核的原生支持，而 clash 也有非常多的实现。原始的 clash go 版本实现从来都是开源的，而作者被诟病的原因则是提供了不开源的 premium 内核拥有更多功能，meta 则是在开源的前提下又实现了 premium 内核的功能。