Paraquire, или Перестаньте доверять библиотекам

TL; DR

Использование npm — пакетного менеджера NodeJS — сопряжено с проблемами безопасности. Штатными средствами невозможно контролировать права доступа, предоставляемые библиотекам. Вкупе с обилием микромодулей это может привести к непредсказуемым последствиям, часть из уже случившегося описана здесь, и в лучших традициях экосистемы npm я на неё сошлюсь.

Под катом описывается proof-of-concept библиотеки, реализующей механизм загрузки npm-модулей с возможностью установить права подобно тому, как на Android можно выдавать приложению конкретные разрешения.

Вместо

var lib = require('untrusted-lib');

предлагается писать где-нибудь

var paraquire = require('paraquire')(module);

и затем

var lib = paraquire('untrusted-lib');

или же

var lib = paraquire('untrusted-lib', {builtin:{https:true}});

Исходный код доступен на гитхабе под LGPLv3.

Кроме того я, не будучи достаточно опытным NodeJS-разработчиком, прошу у сообщества советов и обсуждения.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Каким будет фишинг в ближайшем будущем
• 82% зумеров хотят, чтобы бренды обращались к ним на «вы»
• Топ самых интересных CVE за май 2025 года
• Spark_news: Мобильный коллапс: отключение интернета в некоторых регионах ударило по маркетплейсам
• Spark_news: Samsung находится на финальной стадии переговоров с Perplexity AI о заключении стратегического альянса
• Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3
• Как обманывают ИТ-соискателей: три мошеннические схемы
• Spark_news: Уфимцы — в первых рядах: мечта о Марсе объединяет 27% россиян
• Почему «99.9% аптайма» – это не то, что вы думаете
• Spark_news: Ozon запустил автолизинг для бизнеса