几个安全隐患

[whitelilis]

有几个安全隐患，希望考虑一下

1. mongo 帐号密码放在配置里而且是明文，而 jar 是可以直接解开的，所以如果机器会攻破，打开这个 jar ，就什么都有了。
2. 交易账号放在 mongo 里而且是明文，mongo 万一被攻破，就可以交易了。
3. web 页面的权限太高，像启动/停止策略/直接交易 这样危险的操作，万一哪个 api 有个漏洞，就危险了。我觉得 web 最好只有“看”的权限，所有操作的权限都放到后面去。

[yellow013]

我认为这些假设都是不合理的。

[sun0x00]

@yellow013 我个人在实际使用的时候数据库都是按照读写权限分离的，行情和各个客户端使用的数据库也是相互隔离的，但是很多人在实际使用时可能并不会做太多安全措施。 确实应该增加一些强制安全措施。