说下可道云的安全问题

私有化部署的方式用了一段时间的可用云，产品的整体上还是很好的，但也有不足之处，这里我总结了两个问题。

1 WebDav的安全问题

这个功能很好，可以为其它应用提供一个存储接口，但是它存在一个很严重的安全问题。WebDav的密码居然和用户的登录密码一样，如果在不安全的设备上使用WebDav，可以会导致密码泄露。还有就是默认只能选择个人全部目录获取全部目录，不能选定目录，这也是不安全的。

2 onlyoffice安全问题

不支持onlyoffice 的 secret 功能，onlyoffice的api接口也需要暴露在公网环境下，可道云居然不支持secret？？

希望可道云团队重视下软件的各种安全问题。

祝大家新年快乐！

感谢反馈

为了使用方便使用一个主密码, 可以增加一个专门密码,功能不复杂,但使用上变得更麻烦了,涉及忘记密码,修改密码等情况; 目前这一块需要自己对第三方软件谨慎一点. 主要还是用于挂载到当前电脑使用,安全问题还算可控. 后续可能加一个选项开关,启用webdav需要用户单独设置一个访问密码.
主要考虑易用性, 本身onlyoffice只是提供编辑服务,不会存储文件不会造成文件泄露等问题. 如果是为了防止别人调用, 可以通过nginx配置加入referer白名单, 或者kod打包的onlyoffice镜像包, 提供来源白名单设置.
修改挂载的配置文件: /web/web-apps/kod/allowhost.js