这是一个创建于 845 天前的主题,其中的信息可能已经有所发展或是发生改变。
用自己的 BWG 服务器部署了个 chatgpt web 应用,是只给自己和老婆用的,因此在 ng 上做了双向证书认证,证书只有我和老婆有。上个月开始使用量大了很多,跟老婆对了下,发现都不是对方用的,立刻把 apikey 撤了下来。想请教下 V 友们,做了双向认证,为什么还会被其他人用了?
ps:key 是确定只有这个应用上用的,刚发现的时候还想确认是不是原来的 key 在其他地方被泄露,换了 key 发现还是有别人使用的记录,就确认应该是这个 web 被其他人上去了
 | 1 forvvvv123 2023-09-03 16:59:14 +08:00 web 应用被人黑了 |
 | 2 yinmin 2023-09-03 19:24:42 +08:00 via iPhone nginx 的证书双认证,如果配置正确是没法破解的。 1.你要配置整个网站都用证书认证,尤其是/api/openai 目录。 2.确保 http 是无法访问到系统的。 这个 web 是否被其他人上去了,你可以查看 nginx 日志中/api/openai 目录请求 ip 地址和时间,然后对比 openai 的 usage 。 |
| 3 yinmin 2023-09-03 19:31:03 +08:00 你确认: 1. 这个网址是无法访问的(不应该出现 json 数据包信息): http://domain.com/api/openai/v1/chat/completions 2. 这个网址会弹出客户端证书认证框: https://domain.com/api/openai/v1/chat/completions |
| 4 yinmin 2023-09-03 19:34:03 +08:00 #2 #3 是指 chatgpt next web 这个开源第三方壳,如果是其它 web 壳,也可以做类似检查。 |
 | 5 momocraft 2023-09-03 19:46:42 +08:00 这个应用的代码可信吗? |
 | 6 iBugOne 2023-09-03 20:25:05 +08:00 via Android 你都 nginx 了,为啥不先去看看 nginx 的日志 |
![yu929](https://cdn.v2ex.com/avatar/6122/9e3c/296513_normal.png?m=1721811927") | 7 yu929 OP @yinmin 感谢提供思路。确实是用了 chatgpt next web 。按照你 3 楼的验证了一下,是没有问题的,访问 http 会自动跳 https ,然后就要求提供证书了。至于 nginx 的日志中,和 openai usage 匹配的时间也没有/api/openai 的目录请求(对比了下自己用的时间,那个时间 accesslog 是有/api/openai 的记录的)。那这就很奇怪了,我用的是 docker 部署,为了方便,想着都双向认证了,就直接在启动的时候将 key 写入环境变量中,然后测试发现怎么更换 key ,都还是有不是自己使用的 usage 记录,直至不再把 key 写到变量中 |
| 8 yinmin 2023-09-04 01:23:40 +08:00 via Android 有人能从你的服务器上直接拿走 key 。 |
Select Language