Tôi muốn đặt node.js trên đám mây cho một ứng dụng có thông tin công ty nhạy cảm. Tôi sợ node.js không an toàn như một số máy chủ cũ vì nó không có nhiều trong tự nhiên. Tôi thấy mọi người đề nghị sử dụng một proxy ngược với nó để làm cho nó an toàn hơn. Tôi hiểu nó an toàn hơn thế nào vì nó không được tiếp xúc trực tiếp với thế giới. Nhưng vẫn còn, xss và các cuộc tấn công khác là có thể. Từ quan điểm bảo mật chỉ, bất cứ ai nghĩ rằng node.js là ngang bằng với các máy chủ cũ hơn? Bất kỳ lời khuyên nào về "cách thuyết phục sếp của bạn + nhóm bảo mật của công ty"?Proxy ngược lại có làm cho node.js an toàn không?
Trả lời
Về lý thuyết, proxy ngược lại sẽ không chuyển bất kỳ yêu cầu nào mà chính nó không thể xử lý (bao gồm cả những yêu cầu được thiết kế để chặn cố ý).
Tuy nhiên, nếu có lỗi về Node.js rằng sẽ ví dụ làm cho nó tiết lộ nội dung của các biến nhất định khi một yêu cầu như
GET /x0c/xa0
được nhận, sau đó proxy sẽ chỉ vượt qua theo yêu cầu đó và chuyển tiếp câu trả lời cho khách hàng (kẻ tấn công).
Vì vậy, vẫn có những rủi ro ...
Tại sao không tạo proxy khóa lõi cứng trên python, C++, v.v ... sẽ kiểm soát quyền truy cập? Mỗi người vượt qua proxy này là người dùng đáng tin cậy và node.js làm việc với họ.
Tôi không nghĩ đây thực sự là câu trả lời cho OP. – SuitedSloth
Cách thuyết phục ông chủ và đội bảo mật là chứng minh rằng bạn đã nghĩ qua các vấn đề và có một kế hoạch hợp lý và thực tế để kiểm tra chúng.
Trong bất kỳ cài đặt nào của công ty, proxy của bạn sẽ chỉ là một phần nhỏ của bảo mật tổng thể và đó là cách rủi ro được quản lý.
Để kiểm tra thứ gì đó như thế này, bạn cần phải ném một số * un * yêu cầu hợp lý vào proxy. Tôi thích gợi ý của juand chẳng hạn, bạn cũng nên ném các yêu cầu rất lớn vào proxy.
Một proxy Node.js nên ít nhất là an toàn như một Apache hoặc thực sự là một proxy python/C++ tùy chỉnh vì bạn chỉ cần cho phép nó proxy các mục rất cụ thể.
- 1. Cài đặt proxy toàn cục của Node.js
- 2. Proxy ngược lại tốt nhất cho IIS 6?
- 3. Proxy ngược lại đơn giản nhất có thể là
- 4. FormsAuthentication: Có an toàn không?
- 5. Mảng an toàn không có khóa an toàn
- 6. Xem lại Thread.Abort() - nó có an toàn không?
- 7. Tại sao nút proxy ngược lại của proxy Nginx của tôi chuyển sang 0.0.0.0?
- 8. Chuỗi an toàn của Netty Channel.write có an toàn không?
- 9. Luồng có an toàn không?
- 10. TempData: Có an toàn không?
- 11. Mã an toàn và không an toàn
- 12. Có an toàn cho init thread an toàn với VC2010 không?
- 13. SecureString có an toàn không?
- 14. DWScript có an toàn không?
- 15. Sử dụng Fiddler làm Proxy ngược
- 16. Can Play Framework có thể hoạt động như một máy chủ Proxy hay Proxy ngược lại không?
- 17. Có an toàn cho chủ đề của PHP không?
- 18. Sử dụng os.environ.setdefault có an toàn không?
- 19. Node.js MongoDB thiết lập mặc định an toàn biến
- 20. (bool | bool) có an toàn không?
- 21. Có an toàn threado MongoDB không?
- 22. biểu thức Lambda cho cấu trúc lại an toàn ArgumentException
- 23. Chủ đề NSPersistentStoreCoordinator có an toàn không?
- 24. IIS Express có thể hỗ trợ proxy ngược không?
- 25. Chủ đề java.util.Hashtable có an toàn không?
- 26. WebDAV đằng sau proxy ngược
- 27. Mã C sau có an toàn không?
- 28. Chủ đề Lớp MessageFormat Java có an toàn không? (trái ngược với SimpleDateFormat)
- 29. Kịch bản này có an toàn không?
- 30. Apache 2.2 proxy ngược không hoạt động
Nếu nó là công ty, bạn nên đặt nó phía sau NAT (tường lửa). Ngoài ra node.js có thể khá an toàn đối với hầu hết các cuộc tấn công. – Alfred
@alfred: cảm ơn, nhưng "khá an toàn chống lại hầu hết các cuộc tấn công" sẽ không thuyết phục được nhóm bảo mật của công ty. Ngoài ra đây là một ứng dụng đám mây không phải là đằng sau NAT của công ty. –
Câu hỏi của bạn ở xa thực tế. Sự kiện "cũ srevers" là dễ bị xss và các cuộc tấn công khác trong khi đây là lỗi trong MÃ CỦA BẠN không, máy chủ. Từ quan điểm này, các máy chủ cũ thì không an toàn như các nút. Proxy proxys chỉ có thể bảo vệ bạn khỏi ví dụ "http.createserver" khi máy chủ proxy phát hiện một yêu cầu http bị lỗi (lỗi giao thức) và giảm yêu cầu nhưng một lỗi giả định trong nodejs sẽ có thông tin nhạy cảm. –