主要观点：Dashy 是一款流行的自托管仪表盘应用，但存在严重的安全问题，其访问控制完全基于客户端，易被篡改，导致敏感信息易被获取和配置易被更改。

关键信息：

• Dashy 声称有完整的安全单点登录支持，但实际安全措施不足。
• 绕过 Dashy 访问控制的方法包括 Javascript 篡改和直接查看配置文件。
• Dashy 存在安全与沟通两方面问题，文档中关于安全的建议不够突出。
• 关键开发者宣布将完全弃用内置认证，这是积极的改变，但目前相关文档未更新。

重要细节：

• Dashy 的访问控制流程及局限性，如完全在用户浏览器端运行，易受 Javascript 控制台篡改。
• 可通过在浏览器控制台设置断点等方式轻松绕过认证，直接获取配置文件，包括敏感信息如 API 密钥。
• 攻击者可在未认证情况下更改 Dashy 配置，带来新的安全隐患。
• Dashy 文档虽提及多种安全选项，但未突出显示，易误导用户。
• 作者发现问题后向开发者发送邮件及后续更新，包括发现已有相关 issue 及开发者宣布弃用内置认证等。

总结：Dashy 虽流行但存在严重安全漏洞，开发者应更新文档并采取有效措施，用户应谨慎选择并采取额外安全措施，以防敏感信息泄露。