Paraquire, или Перестаньте доверять библиотекам

Все блоги / Про интернет 24 августа 2017 543

TL; DR

Использование npm — пакетного менеджера NodeJS — сопряжено с проблемами безопасности. Штатными средствами невозможно контролировать права доступа, предоставляемые библиотекам. Вкупе с обилием микромодулей это может привести к непредсказуемым последствиям, часть из уже случившегося описана здесь, и в лучших традициях экосистемы npm я на неё сошлюсь.

Под катом описывается proof-of-concept библиотеки, реализующей механизм загрузки npm-модулей с возможностью установить права подобно тому, как на Android можно выдавать приложению конкретные разрешения.

Вместо

var lib = require('untrusted-lib');

предлагается писать где-нибудь

var paraquire = require('paraquire')(module);

и затем

var lib = paraquire('untrusted-lib');

или же

var lib = paraquire('untrusted-lib', {builtin:{https:true}});

Исходный код доступен на гитхабе под LGPLv3.

Кроме того я, не будучи достаточно опытным NodeJS-разработчиком, прошу у сообщества советов и обсуждения.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Шпаргалки по безопасности: Nodejs

Довольно много уже было сказано о популярности NodeJS. Рост количества приложений очевиден – NodeJS довольно прост в освоении, имеет огромное количество библиотек, а также динамично развивающуюся экосистему. Мы подготовили рекомендации для NodeJS разработчиков, основываясь на OWASP Cheat Sheets,

подробнее »

23 марта 2020

Node.JS / [Из песочницы] Что такое «асинхронная событийная модель», и почему сейчас она «в моде»

Сейчас в интернетах очень модно слово «Node.js». В этой небольшой статье мы попробуем понять, откуда всё это взялось и чем такая архитектура отличается от привычной «по процессу на запрос». Читать дальше → Источник: WEb 2.0 на Хабрахабре

подробнее »

20 сентября 2011

В ядре Linux обнаружили уязвимость, позволяющую получить права суперпользователя

Практически все версии ядра Linux, от 3.8 до 4.5 (в git) подвержены достаточно серьезной уязвимости, которая дает возможность локальному юзеру получить права суперпользователя. Оказывается, уязвимость CVE-2016-0728 существует с 2012 года, а наиболее подвержены риску пользователи ОС Android. дело в

подробнее »

20 января 2016

Введение в криптографию и шифрование, часть вторая. Лекция в Яндексе

Мы возвращаемся к самому краткому введению в криптографическую теорию от Владимира ivlad Иванова. Это вторая половина лекции — первую часть мы опубликовали несколько дней назад. К ней даже можно присылать пуллреквесты на гитхабе. Под катом — расшифровка и часть слайдов. Читать дальше →

подробнее »

1 мая 2017

Опасности использования open-uri

OpenURI в руби это стандартная библиотека сильно упрощающая работу с URL так как она объеденяет в себе Net:HTTP/HTTPS/FTP и представляет из себя всего лишь метод open. Насколько я знаю это самый популярный способ для скачивания файла, GET запроса или чтения данных. Но на деле require "open-uri"

подробнее »

1 марта 2015

[Из песочницы] Honeypot- логгер на nodejs и tcpdump

Всем привет. Недавно тов. R_Voland рассказал о своём http ханипоте. Он меня и вдохновил к написанию этого поста. Но в этом случае, будем ловить все tcp и udp сканы, а не только http. Запросы будем ловить с помощью tcpdump. Для tcp ловим только syn пакеты: tcpdump -n "tcp[tcpflags] & (tcp-syn) != 0"

подробнее »

10 мая 2018