mirror of
https://github.com/certimate-go/certimate.git
synced 2026-04-25 20:55:52 +03:00
[GH-ISSUE #1090] [Feature] 应该提醒用户修改默认的邮箱和密码 #736
Labels
No labels
announcement
backlog
bug
declined
documentation
duplicate
enhancement
good first issue
good first issue
help wanted
invalid
pull-request
question
stale
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference
starred/certimate#736
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Originally created by @mhzhulin on GitHub (Dec 7, 2025).
Original GitHub issue: https://github.com/certimate-go/certimate/issues/1090
Description / 功能描述
很多人会不修改邮箱和密码一直使用默认的邮箱和密码,如果暴漏在公网上这将会非常危险
建议如果使用默认账号登录时,登录成功后弹窗提醒用户修改密码或是强制修改密码
Motivation / 请求动机
有遇到过许多这类型的用户
Miscellaneous / 其他
No response
Contribution / 贡献代码
@qzlearn commented on GitHub (Dec 8, 2025):
certimate就不应该暴露在公网上吧。给certimate攻破了,黑客不就掌握了很多机器|云账号的权限?
@mhzhulin commented on GitHub (Dec 8, 2025):
可是更多人会把他安装在云服务器上吧
@fudiwei commented on GitHub (Dec 8, 2025):
可以做,但正如 @qzlearn 所言,强烈建议不要将 Certimate 暴露在公网上。
即便是云服务器,也应该在云厂商处设置 IP+端口安全组白名单(Certimate 默认端口 8090)。Certimate 作为一个自动化工具,理应配置一次后就静默运行即可,本不应该频繁地通过公网访问,真有需要时临时开放白名单也来得及。
无任何防护措施就暴露在公网上的这种偷懒式的“方便”,是一把双刃剑,方便用户的同时,也是方便恶意攻击者。
@ritaswc commented on GitHub (Feb 11, 2026):
建议做成,数据库未初始化的情况下,首次访问时,输入邮箱和密码注册管理员账号。注册后 在某个地方生成 xxx.lock文件,代表已经初始化过。