Varsayılan olarak chatGPT-web yazılımını kullanırsanız, insanlar tarafından yanlışlıkla taranacak ve ücretsiz olarak kullanılacaktır.
Yazan: Wei Jianfan
OpenAI, GPT API'sini sağladığından, birçok öğrenci kendi chatGPT web sitesini oluşturmak için açık kaynaklı bir yazılım kullandı.
Bu açık kaynaklı yazılım, chatGPT-web'dir, URL şöyledir:
İnşa ettikten sonra, arayüz muhtemelen şöyle görünecektir:
Ancak, varsayılan olarak bu yazılımı kullanırsanız, dikkatli olmazsanız (yani nasıl ayarlayacağınızı bilmiyorsanız), taranır ve başkaları tarafından ücretsiz olarak kullanılır.
Birbiri ardına birçok web sitesi yöneticisi işe alındı.Kurdukları chatGPT'nin kendileri tarafından çok kullanılmadığını, ancak başkaları tarafından yoğun bir şekilde kullanıldığını ve günlük API ücretinin birkaç dolara ulaştığını gördüler.
Bunun nedeni ise web sitesinin birçok kişi tarafından ücretsiz olarak keşfedilmesi ve kullanılmasıdır.
Diğer insanlar bu siteyi nasıl keşfeder?
İnternette başlık bilgisi, alan adı bilgisi, IP bilgisi, port ve protokol bilgisi, başlık bilgisi, html metin bilgisi, banner bilgisi, Şehir bilgisi belirterek bazı web varlık arama motorları vardır (bazıları bunlara "siberuzay haritalaması" der). , sertifika bilgileri vb., belirli başlıklara sahip web sayfalarını aramak, İnternet'te belirli bir yazılımın dağıtımını aramak ve tüm ağı güvenlik açıklarına karşı taramak gibi İnternet'teki bilgi varlıklarını aramak için çok uygun olabilir.
Bu motorların en bilinenleri FOFA ve shodan'dır.
Bu arama motorlarını kullanarak, İnternet ile ilgili hemen hemen tüm varlıkları bulabilirsiniz, çünkü bu arama motorları, İnternet üzerinde neredeyse her zaman çeşitli sunucular, yönlendiriciler, akıllı cihazlar, kameralar, yazıcılar vb. arama, hızlı bir şekilde arama sonuçlarını döndürebilirsiniz.
Asıl ürkütücü olan şey, internetteki birçok web sitesinin veya cihazın güvenlik koruma önlemlerinin olmaması, bu nedenle başkalarının arama yaptıktan sonra kolayca girebilmesidir.
chatGPT-web açık kaynaklı bir yazılımdır, ön sayfanın varsayılan Başlığı şöyledir: ChatGPT Web
Ardından, varlık arama motorunda, adı ChatGPT Web olan web sitesini arayın ve bu açık kaynak projesini kullanan web sitesini bulabilirsiniz.
20.000'den fazla bu tür web sitesinin 1 saniyenin biraz üzerinde arandığı görülebilir.
Bu web sitelerinin parola koruması yoksa (siz ayarlamazsanız varsayılan parola değildir), tarayıcı chatGPT'yi ücretsiz olarak doğrudan kullanabilir.
nasıl önlenir
Aslında, bu sorun chatGPT-web'in README'sinde açıklanmaktadır, ancak birçok kullanıcı bu güvenlik talimatlarını dikkatlice okumadan tüm enerjisini web sitesini nasıl çalıştıracağına harcamaktadır.
Gerçekten kullanırsanız, değiştirmek için hala zamanınız var Sonuçta, daha az kaybedebilir ve daha az kaybedebilirsiniz.
Ön uç index.html dosyasında, başlığı başka bir şeyle değiştirin ve ChatGPT kelimesi dahil edilmemelidir.
Yapılandırma dosyasında, web sayfasına bir erişim parolası eklemek için AUTH_SECRET_KEY öğesini ayarlayın.
Arka ucu kendiniz oluşturursanız, hizmet dizinindeki .env dosyasında AUTH_SECRET_KEY değerini ayarlayın.
Docker Compose kullanıyorsanız, bunu docker-compose dizinindeki docker-compose.yml dosyasında ayarlayın.
Şifre doğrulamayı ekledikten sonra, web sayfası şu şekilde olacaktır:
Bu çok daha iyi olacak, en azından çok sayıda sıradan teşebbüsü engelleyebilir.
Çözüm
Bu nedenle site yöneticilerinin en temel güvenlik bilincine sahip olması gerekir.Başkalarının sizi bulamayacağını düşünürsünüz ama aslında başkaları sizi çoktan keşfetmiş ve kullanmıştır.
Yazılım geliştiriciler, kullanıcıların bunları ayarlamasını beklemek yerine, programın otomatik olarak farklı Başlıklar oluşturmasına, otomatik olarak varsayılan parolalar oluşturmasına vb. izin vermek gibi yazılımın varsayılan yüklemesini nasıl güvenli hale getireceklerini düşünmelidir.
Ben açık kaynağım diyebilirsiniz, öyle bir zorunluluğum yok kullanıp kullanmamak sizi ilgilendirir ama iyi yaparsanız itibarınız çok iyi olur.
Kullanıcılar genellikle aptalca kurulumlar olduğundan, hiçbir şeyi değiştirme zahmetine girmezler.
Saldırganın niyeti olup olmadığına bağlı olarak sitede başka sorunlar olabilir, bu nedenle burada ayrıntılara girmeyeceğim. Eğer ilgileniyorsanız, şu makaleye göz atabilirsiniz: "ChatGPT'nin Yurtiçi Özel Dağıtım Kullanarak Risk Analizi".
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Açık kaynaklı yazılımla bir chatGPT web sitesi mi oluşturuyorsunuz? Başkalarının sizin paranızı harcamasına dikkat edin!
Yazan: Wei Jianfan
OpenAI, GPT API'sini sağladığından, birçok öğrenci kendi chatGPT web sitesini oluşturmak için açık kaynaklı bir yazılım kullandı.
Bu açık kaynaklı yazılım, chatGPT-web'dir, URL şöyledir:
İnşa ettikten sonra, arayüz muhtemelen şöyle görünecektir:
Ancak, varsayılan olarak bu yazılımı kullanırsanız, dikkatli olmazsanız (yani nasıl ayarlayacağınızı bilmiyorsanız), taranır ve başkaları tarafından ücretsiz olarak kullanılır.
Birbiri ardına birçok web sitesi yöneticisi işe alındı.Kurdukları chatGPT'nin kendileri tarafından çok kullanılmadığını, ancak başkaları tarafından yoğun bir şekilde kullanıldığını ve günlük API ücretinin birkaç dolara ulaştığını gördüler.
Bunun nedeni ise web sitesinin birçok kişi tarafından ücretsiz olarak keşfedilmesi ve kullanılmasıdır.
Diğer insanlar bu siteyi nasıl keşfeder?
İnternette başlık bilgisi, alan adı bilgisi, IP bilgisi, port ve protokol bilgisi, başlık bilgisi, html metin bilgisi, banner bilgisi, Şehir bilgisi belirterek bazı web varlık arama motorları vardır (bazıları bunlara "siberuzay haritalaması" der). , sertifika bilgileri vb., belirli başlıklara sahip web sayfalarını aramak, İnternet'te belirli bir yazılımın dağıtımını aramak ve tüm ağı güvenlik açıklarına karşı taramak gibi İnternet'teki bilgi varlıklarını aramak için çok uygun olabilir.
Bu motorların en bilinenleri FOFA ve shodan'dır.
Bu arama motorlarını kullanarak, İnternet ile ilgili hemen hemen tüm varlıkları bulabilirsiniz, çünkü bu arama motorları, İnternet üzerinde neredeyse her zaman çeşitli sunucular, yönlendiriciler, akıllı cihazlar, kameralar, yazıcılar vb. arama, hızlı bir şekilde arama sonuçlarını döndürebilirsiniz.
Asıl ürkütücü olan şey, internetteki birçok web sitesinin veya cihazın güvenlik koruma önlemlerinin olmaması, bu nedenle başkalarının arama yaptıktan sonra kolayca girebilmesidir.
chatGPT-web açık kaynaklı bir yazılımdır, ön sayfanın varsayılan Başlığı şöyledir: ChatGPT Web
Ardından, varlık arama motorunda, adı ChatGPT Web olan web sitesini arayın ve bu açık kaynak projesini kullanan web sitesini bulabilirsiniz.
20.000'den fazla bu tür web sitesinin 1 saniyenin biraz üzerinde arandığı görülebilir.
Bu web sitelerinin parola koruması yoksa (siz ayarlamazsanız varsayılan parola değildir), tarayıcı chatGPT'yi ücretsiz olarak doğrudan kullanabilir.
nasıl önlenir
Aslında, bu sorun chatGPT-web'in README'sinde açıklanmaktadır, ancak birçok kullanıcı bu güvenlik talimatlarını dikkatlice okumadan tüm enerjisini web sitesini nasıl çalıştıracağına harcamaktadır.
Gerçekten kullanırsanız, değiştirmek için hala zamanınız var Sonuçta, daha az kaybedebilir ve daha az kaybedebilirsiniz.
Ön uç index.html dosyasında, başlığı başka bir şeyle değiştirin ve ChatGPT kelimesi dahil edilmemelidir.
Yapılandırma dosyasında, web sayfasına bir erişim parolası eklemek için AUTH_SECRET_KEY öğesini ayarlayın.
Arka ucu kendiniz oluşturursanız, hizmet dizinindeki .env dosyasında AUTH_SECRET_KEY değerini ayarlayın.
Docker Compose kullanıyorsanız, bunu docker-compose dizinindeki docker-compose.yml dosyasında ayarlayın.
Şifre doğrulamayı ekledikten sonra, web sayfası şu şekilde olacaktır:
Bu çok daha iyi olacak, en azından çok sayıda sıradan teşebbüsü engelleyebilir.
Çözüm
Bu nedenle site yöneticilerinin en temel güvenlik bilincine sahip olması gerekir.Başkalarının sizi bulamayacağını düşünürsünüz ama aslında başkaları sizi çoktan keşfetmiş ve kullanmıştır.
Yazılım geliştiriciler, kullanıcıların bunları ayarlamasını beklemek yerine, programın otomatik olarak farklı Başlıklar oluşturmasına, otomatik olarak varsayılan parolalar oluşturmasına vb. izin vermek gibi yazılımın varsayılan yüklemesini nasıl güvenli hale getireceklerini düşünmelidir.
Ben açık kaynağım diyebilirsiniz, öyle bir zorunluluğum yok kullanıp kullanmamak sizi ilgilendirir ama iyi yaparsanız itibarınız çok iyi olur.
Kullanıcılar genellikle aptalca kurulumlar olduğundan, hiçbir şeyi değiştirme zahmetine girmezler.
Saldırganın niyeti olup olmadığına bağlı olarak sitede başka sorunlar olabilir, bu nedenle burada ayrıntılara girmeyeceğim. Eğer ilgileniyorsanız, şu makaleye göz atabilirsiniz: "ChatGPT'nin Yurtiçi Özel Dağıtım Kullanarak Risk Analizi".