【发布时间】:2016-08-01 20:47:33
【问题描述】:
ngrok 是一个安全的工具吗?我正在阅读一个教程,该教程建议使用我对需要连接到我的端点的外部服务做出的 ngrok 测试 API 响应。
【问题讨论】:
【发布时间】:2016-08-01 20:47:33
【问题描述】:
没有可用于 2.0 版的源代码,考虑到它是 2014 年作为开源项目开始的。我怀疑有任何代码会打开从云到我的本地主机的隧道。非常可怕的东西,尤其是没有源代码!
【讨论】:
我在这里找到了不错的评价,但信息很空洞:
http://www.scamadviser.com/is-ngrok.com-a-fake-site.html
对我来说最重要的是
https://developer.atlassian.com/blog/2015/05/secure-localhost-tunnels-with-ngrok/
Atlassian 人强烈推荐它的地方。
我想我会使用它。
【讨论】:
-
它是安全的,只要您将它用于测试而不是用于持久性的东西。
-
所以它是安全的,因为 atlassian 不在乎?来吧:)
它为您的开发机器打开了一条隧道,该隧道通过隐蔽(一个难以猜测的子域)部分保护,并且可以通过要求密码来进一步保护。 但是你仍然对 ngrok 本身敞开心扉,公司是 completely opaque(没有地址,没有员工,没有公司名称,没有 LinkedIn 存在;我能找到的只是它有 1 -10 名员工并且是私人的;甚至不确定它位于哪个国家/地区)。最重要的是,代码不是开源的。没有理由认为它们不合法,但没有太多可用于建立信任的信息。
您可以通过加密流量来使用 ngrok 和其他更安全的本地隧道服务。请参阅https://security.stackexchange.com/questions/177280/end-to-end-encryption-for-localtunnel-ngrok-setup/177357#177357 了解更多信息。
【讨论】:
-
好像他们现在在Linkedin上:linkedin.com/company/ngrok/people
-
这并不完全正确。 ngrok 开源已经有一段时间了:github.com/inconshreveable/ngrok
-
@dio -- ngrok 是 开源的,直到 1.7.1(2015 年 8 月)基于github.com/inconshreveable/ngrok/tags...参见上面的评论:stackoverflow.com/a/46386973/1766230
如果有人担心破坏他们的开发环境,您可以使用 Docker。有很多 ngrok/docker 项目,但这是我选择的一个:https://github.com/gtriggiano/ngrok-tunnel
对于 macOS,使用“TARGET_HOST=docker.for.mac.localhost”
【讨论】:
他们现在提供一项服务,您只需在本地运行 ssh,无需在您的机器上运行他们的任何代码。
你运行类似ssh -R 80:localhost:8501 tunnel.us.ngrok.com http 的东西。这将连接到他们的主机之一并将他们收到的连接转发回您的机器和您在 localhost:8501 上运行的服务。
这对我来说似乎很安全,唯一的问题是您不知道他们收集了哪些信息以及谁在连接到您的公开服务。他们打印所有连接,但这是他们的二进制文件,有人可能会在你不注意的情况下听到。您可以检查自己的连接,但无法确定连接的是谁。
【讨论】: