云主机的控制终端的安全性极低

阿里云主机的控制终端用的是 noVNC 这个开源的Web VNC客户端，见附图。

访问noVNC的网址是一个http 网址，带上一个查询主机ID，如下

http://console.aliyun.com/ecs/vnc/index.htm?instanceId=AY120xxxxxxxxxxxxxxxxyyyyyyyyy

安全隐患：
1. 采用 http 的web页面，能被中间者监听。只要在浏览器和阿里云主机之间抓几个包就可以得到完整的网址。

2. 查询字符串是明文的主机ID。即使采用了https的网址，也可以根据自己的主机ID格式猜其他的主机ID。

3. 打开链接后，就可以输入 vnc 远程桌面密码，从而打开终端登陆界面。VNC是个8位的密码，可以试想有多么安全？

4. 最可怕的事情是，在终端界面需要输入用户名和密码。咋一看很安全，和ssh登陆一样嘛。真的一样吗？

5. 别忘了，你是在 http 页面输入了用户名和密码。中间者抓几个包，分析下，用户名和密码就暴露了。

对阿里云及阿里云安全团队的建议：
1. 将http 升级到https

2. 不要把主机ID作为查询的字符串

3. 打开VNC桌面之前，做web入口认证（事实上无必要，连接VNC时需要事先登陆账号验证身份）

4. 不要让用户在web里输入主机用户名和密码

5. 希望此贴不要被无辜删除

6. 当阿里云的技术人员support时，不要再开口就要主机的登陆用户名和密码。

展开

收起

sequoiar 2014-06-06 21:04:11 20773 0

12 条回答

写回答

取消提交回答

klwhb2s6hnqn2

推荐回答:

的确 https应该是必备的

官方帮助文档地址：阿里云帮助中心

更多参考：阿里云官方(新用户需官网注册查看)

2021-05-18 11:37:49

赞同展开评论打赏
3wowowo

novnc如何vim并保存文件退出啊？
novnc如何vim并保存文件退出啊？
我遇到这样的问题，该肿么办呢？

我发现，不能退出并保存文件，急求该如何办呢？
-------------------------

Re云主机的控制终端的安全性极低
我做的，novnc 启动windows并进入了，可是鼠标和虚拟机里面的鼠标，怎么不一致，鼠标不在一个点上，如何调成一致的啊？

2015-06-14 19:33:10

赞同展开评论打赏
bcaiwa

https

2014-06-09 18:57:56

赞同展开评论打赏
凯奇

Re云主机的控制终端的安全性极低
还是上https把

2014-06-09 14:50:04

赞同展开评论打赏
好好的

2014-06-07 10:28:21

赞同展开评论打赏
bendchen

提醒：实例AY120xxxxxxxxxxxxxxxxyyyyyyyyy不存在。请从实例列表页选取其它可用的实例。
哈哈
这个分析应是理论上的，实际上，还要考虑很多环节吧

2014-06-07 10:20:19

赞同展开评论打赏
teamo2012

Re云主机的控制终端的安全性极低
哈哈，来吧，再多爆一点，求公开阿里云账号密码~

2014-06-07 08:36:04

赞同展开评论打赏
vaman

的确 https应该是必备的

2014-06-07 01:34:48

赞同展开评论打赏
sequoiar

10年 Cisco 数据中心网络研发经历。云计算，大数据开发者。开源社区活跃者: https://github.com/InstantWebP2P

回3楼qilu的帖子
"口令的整个传输过程，全程是由VNC协议进行编码的。VNC协议是一种主流管理协议，安全性大家可以放心。"

此言差矣。VNC 是为局域网或内网设计的。 VNC 的传输机制放在外网，若不放在一个外在安全通道之上，无安全性可言。作为noVNC，在外网运行，HTTPS 是必要的。

"自动登录到云服务器的操作系统里，这是一个非常危险的想法。用户云服务器的登录口令，是用户的私有信息，阿里云是不会存储用户口令的，所以也无法帮助用户自动登录。而且用户的用户名和口令，本身也是控制终端安全性的一部分。假定前端的安全机制失效了，如果你不知道这个用户的系统口令，你照样只能看着屏幕。 "

不对，问题正在于此，控制台的noVNC 服务器运行在虚拟机管理端，而不在主机本身，登陆界面是 noVNC服务器到主机console的一个管道。由于VNC服务器没有运行在主机本身，noVNC的控制权自然在虚拟机管理端，并没有像ssh提供端到端的安全。换句话说，用户必须完全trust阿里云，这种基于noVNC的控制终端才有安全意义。

2014-06-06 23:24:46

赞同展开评论打赏
qilu

感谢楼主关注到控制终端的安全性。终于有人从安全性的角度去看待这个功能。对于控制终端功能来说，安全性和易用性的重要性是同样重要的。

我们非常愿意和大家进行这方面的技术交流

关于https的建议，很有道理。我们会改进。采用https，对浏览器和服务器之间的数据进行加密，对提升原本已经很严格的安全防护，是有帮助的。

对于InstanceId，这点上，楼主确实可以通过猜测和遍历去伪造InstanceId，但，你是无法越过官网身份验证以及后端安全令牌的认真的。你可能能拿到URL，但你是无法连接终端的。

自动登录到云服务器的操作系统里，这是一个非常危险的想法。用户云服务器的登录口令，是用户的私有信息，阿里云是不会存储用户口令的，所以也无法帮助用户自动登录。而且用户的用户名和口令，本身也是控制终端安全性的一部分。假定前端的安全机制失效了，如果你不知道这个用户的系统口令，你照样只能看着屏幕。

口令的整个传输过程，全程是由VNC协议进行编码的。VNC协议是一种主流管理协议，安全性大家可以放心。

在当初设计时，我们甚至考虑过在出现登录界面时，通过发送快捷指令强制把当前已经登录的控制台退出，必须用户重新输入口令。

安全性，是一个没有止境的优化过程。欢迎大家提出建议，帮助我们提升和成长。

-------------------------

Re:回3楼qilu的帖子

引用第4楼sequoiar于2014-06-06 23:24发表的回3楼qilu的帖子 :

"此言差矣。VNC 是为局域网或内网设计的。 VNC 的传输机制放在外网，若不放在一个外在安全通道之上，无安全性可言。作为noVNC，在外网运行，HTTPS 是必要的。"

HTTPS的建议，我们会落实改进。

.......

2014-06-06 22:16:18

赞同展开评论打赏
云代维

如果能够“在浏览器和阿里云主机之间抓几个包”，那么能做的事情太多了。

2014-06-06 21:59:27

赞同展开评论打赏
luoshihao

Re云主机的控制终端的安全性极低
我是沙发，支持楼主，官方可以确认下是不是有这些情况存在

2014-06-06 21:20:37

赞同展开评论打赏