这是一个创建于 505 天前的主题,其中的信息可能已经有所发展或是发生改变。
表面上看,映射端口是会暴露更多的攻击面。
但是,一个创业公司,开发配的电脑的 Windows 都是 home 版的,还是我自己 搞得 pro ,普通路由器用 192 的网段,这能有个毛线网络安全。考虑到我的微软账户的安全性很高,攻破 3389 端口的能力基本上早就打穿了这层路由器管理员权限。
实际上,这恰恰暴露了 IT 的不专业。这家公司的工作效率,一定受限于公司的管理文化,不是依赖更高效的工作方式,而变得更依赖员工的工作努力。
还好手上还有其他 offer ,已经想跑了。
但是,一个创业公司,开发配的电脑的 Windows 都是 home 版的,还是我自己 搞得 pro ,普通路由器用 192 的网段,这能有个毛线网络安全。考虑到我的微软账户的安全性很高,攻破 3389 端口的能力基本上早就打穿了这层路由器管理员权限。
实际上,这恰恰暴露了 IT 的不专业。这家公司的工作效率,一定受限于公司的管理文化,不是依赖更高效的工作方式,而变得更依赖员工的工作努力。
还好手上还有其他 offer ,已经想跑了。
第 1 条附言 · 2024-04-17 21:00:40 +08:00
看到这么多人回复,也感觉有点不好意思。
我理解的专业 it ,应该存在 vpn ,网络流量监控监管等等机制。如果这些什么都不存在,那么开端口增加的风险可以忽略,因为本身就已经是高风险了。比如,可以随便用远程控制软件。
我当时听到回复也没有跟 it 再说什么,他也是个开发,兼职 it ,不会也不打算布置 vpn 。我也理解网友们说的,总是不开端口更安全,毕竟 0day 怎么防。
但是话说回来,本是就是一个很普通的网络环境,内外网都没有隔离和监控,却说一定要如此重视安全,感觉更像是一种原则口号。就好像一个普通的房子,非要用金库的密码锁一样,要说这样更安全,当然没错。
前公司的工作文化,work smarter not harder ,还有一句意思是,不要因为怕承担风险而什么都不做。每个人有每个人的理解,不再过分讨论。我的回复肯定有很多漏洞。人性就是很喜欢找到并抓住一个漏洞,然后展开无限的联想和情绪输出,而毫不在意主题。
我不喜欢依靠员工努力而不是优先提高工作效率的公司。如果一定要解释什么的话,其实我面试时候就跟主管提过公司的网络环境,和远程桌面的需求,主管也说没问题。可能主管并没有考虑那么多,也很正常。当然金库密码锁的安全性也是绝对不容置疑的。至于我提到的 home 版的 Windows 做开发,是想说公司的开发配置不够专业的另一个例子,虽然写 helloworld 并不受限,但我的工作受限了。
我理解的专业 it ,应该存在 vpn ,网络流量监控监管等等机制。如果这些什么都不存在,那么开端口增加的风险可以忽略,因为本身就已经是高风险了。比如,可以随便用远程控制软件。
我当时听到回复也没有跟 it 再说什么,他也是个开发,兼职 it ,不会也不打算布置 vpn 。我也理解网友们说的,总是不开端口更安全,毕竟 0day 怎么防。
但是话说回来,本是就是一个很普通的网络环境,内外网都没有隔离和监控,却说一定要如此重视安全,感觉更像是一种原则口号。就好像一个普通的房子,非要用金库的密码锁一样,要说这样更安全,当然没错。
前公司的工作文化,work smarter not harder ,还有一句意思是,不要因为怕承担风险而什么都不做。每个人有每个人的理解,不再过分讨论。我的回复肯定有很多漏洞。人性就是很喜欢找到并抓住一个漏洞,然后展开无限的联想和情绪输出,而毫不在意主题。
我不喜欢依靠员工努力而不是优先提高工作效率的公司。如果一定要解释什么的话,其实我面试时候就跟主管提过公司的网络环境,和远程桌面的需求,主管也说没问题。可能主管并没有考虑那么多,也很正常。当然金库密码锁的安全性也是绝对不容置疑的。至于我提到的 home 版的 Windows 做开发,是想说公司的开发配置不够专业的另一个例子,虽然写 helloworld 并不受限,但我的工作受限了。
 |
101
GGMM 2024-04-18 13:42:30 +08:00
@CodeLaunchur 我们实验室有过因为暴露了公网端口被攻击的情况,病毒/脚本通过暴力搜索 3~5 位的用户名和弱密码攻入了内网,导致实验室内部的机器全部都中了病毒,CPU 永远满载,个人能力有限只能重装系统。
|
 |
102
mamba 2024-04-18 14:16:54 +08:00
以为楼主很懂
一看回复水平一般。。。 |
 |
103
wanmyj OP @sagaxu 感谢你在 40#提供的方式,已经搞定了,只需要 ssh reverse port forwarding(-R)就可以达到目的。
|
 |
104
12101111 2024-04-18 14:46:10 +08:00
|
 |
105
zbatman 2024-04-18 15:21:03 +08:00
|
 |
106
WDATM33 2024-04-18 17:12:54 +08:00
出事了又不用他擦屁股,他转身跑路就完了他当然不在乎这个
|
 |
107
xylxAdai 2024-04-18 17:24:04 +08:00
你这表现的也太不专业了,不知道你这种奇葩的话怎么能说得出口的。
|
 |
108
loopinfor 2024-04-18 17:29:09 +08:00
虽然你的 windows 账户安全性高,但是电脑上可能存在弱密码的账户,开放了端口 rdp 照样可以登录。另外,windows 账户 rdp 登录并不一定要知道你的邮箱,用账户简写也是可以登录进去的。
|
 |
109
unco020511 2024-04-18 17:30:47 +08:00
一般公司都有自己的远程机制吧,大多数都是 vpn
|
 |
111
july1995 2024-04-18 19:14:32 +08:00
无力吐槽了,半吊子水平,就别质疑公司了。
|
 |
112
uncat 2024-04-18 23:00:04 +08:00
@wanmyj #110 tailscale 和 wireguard 的方案是部署在公网服务器上的。
局域网内的服务器、开发者本地主动连接公网服务器并保持连接。 开发者的请求以公网服务器转发或直连局域网服务器( STUN 打洞)的形式建立连接。局域网的服务器收到请求再转发给其他局域网设备。 |
 |
113
CodeLaunchur 2024-04-18 23:16:22 +08:00
@GGMM 是啊,最后我也是放弃很多文件选择清盘重装,就是可惜了那么多大姐姐
|
 |
114
NormanGhost 2024-04-18 23:30:43 +08:00 via Android
奇葩一个。首先,下班回家想着工作脑袋被门挤了吧。其次,让 IT 给你开端口映射异想天开,公司是你家吗。
|
Select Language