2011-08-14 17 views
9

मैं क्लाउड पर node.js को उस एप्लिकेशन के लिए रखना चाहता हूं जिसमें संवेदनशील कॉर्पोरेट जानकारी हो। मुझे डर है कि node.js पुराने सर्वरों में से कुछ के रूप में सुरक्षित नहीं है क्योंकि यह जंगली में बहुत कुछ नहीं रहा है। मैंने लोगों को इसे सुरक्षित बनाने के लिए इसके साथ एक रिवर्स प्रॉक्सी का उपयोग करने की सिफारिश की। मैं समझता हूं कि यह कैसे सुरक्षित है क्योंकि यह सीधे दुनिया के सामने नहीं आ रहा है। लेकिन फिर भी, एक्सएसएस और अन्य हमले संभव हैं। केवल सुरक्षा परिप्रेक्ष्य से, कोई भी सोचता है कि node.js पुराने सर्वर के बराबर है? "अपने मालिक + कॉर्पोरेट सुरक्षा टीम को कैसे मनाने के लिए" पर कोई सुझाव?क्या एक रिवर्स प्रॉक्सी node.js सुरक्षित बनाता है?

+0

यदि यह कॉर्पोरेट है, तो आपको इसे एनएटी (फ़ायरवॉल) के पीछे रखना चाहिए। अधिकांश हमलों के खिलाफ भी node.js बहुत सुरक्षित हो सकता है। – Alfred

+0

@alfred: धन्यवाद, लेकिन "अधिकांश हमलों के खिलाफ बहुत सुरक्षित" कॉर्पोरेट सुरक्षा टीम को मनाने नहीं देगा। यह क्लाउड ऐप भी है जो कॉर्पोरेट एनएटी के पीछे नहीं है। –

+2

आपका प्रश्न वास्तविकता से बहुत दूर है। घटना "पुराने srevers" xss और अन्य हमलों के लिए कमजोर हैं, जबकि यह आपके कोड में सर्वर नहीं है, सर्वर। इस दृष्टिकोण से पुराने सर्वर नोडज के रूप में असुरक्षित हैं। रिवर्स प्रॉक्सी केवल उदाहरण के लिए आपको "http.createserver" से बचा सकता है जब प्रॉक्सी सर्वर एक विकृत http अनुरोध (प्रोटोकॉल त्रुटि) का पता लगाता है और अनुरोध छोड़ देता है लेकिन नोडजेज़ में एक हाइपोटेटिकल बग संवेदनशील जानकारी का खुलासा करता। –

उत्तर

3

सिद्धांत रूप में, एक रिवर्स प्रॉक्सी किसी भी अनुरोध पर नहीं गुजरती है जिसे वह संसाधित नहीं कर सकता (जिसमें जानबूझकर ब्लॉक करने के लिए डिज़ाइन किया गया है)।

हालांकि, अगर Node.js पर कीड़े कि उदाहरण के लिए होगा यह कुछ वेरिएबल जब की तरह

GET /x0c/xa0 

एक अनुरोध प्राप्त हुआ है सामग्री का खुलासा कर रहे थे, तो प्रॉक्सी सिर्फ इतना है कि अनुरोध पर से होकर गुजरेगा और ग्राहक (हमलावर) के जवाब रिले।

तो वहाँ अभी भी जोखिम कर रहे हैं ...

-2

अजगर पर कट्टर ताला प्रॉक्सी क्यों नहीं बनाते हैं, C++, आदि, जो पहुंच को नियंत्रित करेंगे? प्रत्येक जो इस प्रॉक्सी को पास करता है वह विश्वसनीय उपयोगकर्ता है और node.js उनके साथ काम करता है।

+0

मुझे नहीं लगता कि यह वास्तव में ओपी का जवाब है। – SuitedSloth

0

मालिक और सुरक्षा टीमों को मनाने का तरीका यह दर्शाता है कि आपने मुद्दों के बारे में सोचा है और उनका परीक्षण करने के लिए उचित और यथार्थवादी योजना है।

किसी भी कॉर्पोरेट सेटिंग में, आपकी प्रॉक्सी केवल समग्र सुरक्षा का एक छोटा सा हिस्सा होगा और इस तरह जोखिमों को प्रबंधित किया जाता है।

इस तरह कुछ परीक्षण करने के लिए, आपको प्रॉक्सी पर * un * उचित अनुरोधों को फेंकने की आवश्यकता होगी। उदाहरण के लिए मुझे जुंड के सुझाव पसंद हैं, आपको प्रॉक्सी पर भी बहुत बड़े अनुरोधों को फेंकना चाहिए।

एक नोड.जेएस प्रॉक्सी कम से कम एक अपाचे या वास्तव में एक कस्टम पायथन/सी ++ प्रॉक्सी के रूप में सुरक्षित होना चाहिए क्योंकि आपको केवल बहुत विशिष्ट वस्तुओं को प्रॉक्सी करने की आवश्यकता है।

संबंधित मुद्दे