【发布时间】:2014-02-25 21:39:49
【问题描述】:
是否有任何现有的技术或 npm 包可以阻止来自 NodeJS 服务器的所有传出请求,只允许响应传入请求?这可以防止在安全审计中遗漏的深度依赖项中的 phone-home 类型的攻击。
【问题讨论】:
-
嗯,听起来您的应用程序会阻止某些东西或某人在您的服务器上安装某些东西。
-
@dollarVar node.js 和 npm 有一个可以变得非常深的依赖解析(传递依赖)。没有人会安装应用程序,但有时忽略所有有效的依赖项并不容易。如果其中一个依赖项包含恶意软件,则为灾难。
-
好的,如果你认为你安装的东西正在打电话回家,监控传出流量并找到罪魁祸首,把他扔出去,永远不要再相信那个开发者的软件包.如果您找不到罪魁祸首,请吞噬
http.request()的代码,使其不再连接,但对它的依赖(尝试打电话回家)不会因错误而终止服务器。我很震惊,让我扔点东西来放松一下nodejsreactions.tumblr.com/post/64305120115/frameworks。