Paraquire, или Перестаньте доверять библиотекам

TL; DR

Использование npm — пакетного менеджера NodeJS — сопряжено с проблемами безопасности. Штатными средствами невозможно контролировать права доступа, предоставляемые библиотекам. Вкупе с обилием микромодулей это может привести к непредсказуемым последствиям, часть из уже случившегося описана здесь, и в лучших традициях экосистемы npm я на неё сошлюсь.

Под катом описывается proof-of-concept библиотеки, реализующей механизм загрузки npm-модулей с возможностью установить права подобно тому, как на Android можно выдавать приложению конкретные разрешения.

Вместо

var lib = require('untrusted-lib');

предлагается писать где-нибудь

var paraquire = require('paraquire')(module);

и затем

var lib = paraquire('untrusted-lib');

или же

var lib = paraquire('untrusted-lib', {builtin:{https:true}});

Исходный код доступен на гитхабе под LGPLv3.

Кроме того я, не будучи достаточно опытным NodeJS-разработчиком, прошу у сообщества советов и обсуждения.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Design by Contract в эпоху AI: как контракты Мейера защищают криптографию там, где тесты молчат
• Schnorr/MuSig2 Nonce-Forensics:
• SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем
• Приватная Cвязь на Go и Flutter
• Манифест созидателя
• OSINT для ленивых. Часть 8: GEOINT по фото за 3 минуты
• MarketingNews: Кейс: «Призы от всего атомного сердца». как «Пятёрочка» создала фиджитал-вселенную с Atomic Heart и переосмыслила механику промоакций
• Как я собрал себе C2 на малинке за один вечер
• Краткая история биометрии: как была изобретена идентификация по радужке глаза
• Мыслепреступление на Android: как скрыть Перехватчик трафика от Государственных приложений