मैं क्लाउड पर node.js को उस एप्लिकेशन के लिए रखना चाहता हूं जिसमें संवेदनशील कॉर्पोरेट जानकारी हो। मुझे डर है कि node.js पुराने सर्वरों में से कुछ के रूप में सुरक्षित नहीं है क्योंकि यह जंगली में बहुत कुछ नहीं रहा है। मैंने लोगों को इसे सुरक्षित बनाने के लिए इसके साथ एक रिवर्स प्रॉक्सी का उपयोग करने की सिफारिश की। मैं समझता हूं कि यह कैसे सुरक्षित है क्योंकि यह सीधे दुनिया के सामने नहीं आ रहा है। लेकिन फिर भी, एक्सएसएस और अन्य हमले संभव हैं। केवल सुरक्षा परिप्रेक्ष्य से, कोई भी सोचता है कि node.js पुराने सर्वर के बराबर है? "अपने मालिक + कॉर्पोरेट सुरक्षा टीम को कैसे मनाने के लिए" पर कोई सुझाव?क्या एक रिवर्स प्रॉक्सी node.js सुरक्षित बनाता है?
उत्तर
सिद्धांत रूप में, एक रिवर्स प्रॉक्सी किसी भी अनुरोध पर नहीं गुजरती है जिसे वह संसाधित नहीं कर सकता (जिसमें जानबूझकर ब्लॉक करने के लिए डिज़ाइन किया गया है)।
हालांकि, अगर Node.js पर कीड़े कि उदाहरण के लिए होगा यह कुछ वेरिएबल जब की तरह
GET /x0c/xa0
एक अनुरोध प्राप्त हुआ है सामग्री का खुलासा कर रहे थे, तो प्रॉक्सी सिर्फ इतना है कि अनुरोध पर से होकर गुजरेगा और ग्राहक (हमलावर) के जवाब रिले।
तो वहाँ अभी भी जोखिम कर रहे हैं ...
अजगर पर कट्टर ताला प्रॉक्सी क्यों नहीं बनाते हैं, C++, आदि, जो पहुंच को नियंत्रित करेंगे? प्रत्येक जो इस प्रॉक्सी को पास करता है वह विश्वसनीय उपयोगकर्ता है और node.js उनके साथ काम करता है।
मुझे नहीं लगता कि यह वास्तव में ओपी का जवाब है। – SuitedSloth
मालिक और सुरक्षा टीमों को मनाने का तरीका यह दर्शाता है कि आपने मुद्दों के बारे में सोचा है और उनका परीक्षण करने के लिए उचित और यथार्थवादी योजना है।
किसी भी कॉर्पोरेट सेटिंग में, आपकी प्रॉक्सी केवल समग्र सुरक्षा का एक छोटा सा हिस्सा होगा और इस तरह जोखिमों को प्रबंधित किया जाता है।
इस तरह कुछ परीक्षण करने के लिए, आपको प्रॉक्सी पर * un * उचित अनुरोधों को फेंकने की आवश्यकता होगी। उदाहरण के लिए मुझे जुंड के सुझाव पसंद हैं, आपको प्रॉक्सी पर भी बहुत बड़े अनुरोधों को फेंकना चाहिए।
एक नोड.जेएस प्रॉक्सी कम से कम एक अपाचे या वास्तव में एक कस्टम पायथन/सी ++ प्रॉक्सी के रूप में सुरक्षित होना चाहिए क्योंकि आपको केवल बहुत विशिष्ट वस्तुओं को प्रॉक्सी करने की आवश्यकता है।
- 1. रिवर्स प्रॉक्सी
- 2. एक रिवर्स प्रॉक्सी
- 3. वेबडावी एक रिवर्स प्रॉक्सी
- 4. रिवर्स प्रॉक्सी
- 5. रिवर्स प्रॉक्सी
- 6. एक Node.js प्रॉक्सी
- 7. आईआईएस 7 रिवर्स प्रॉक्सी
- 8. क्या node.js SlowBuffers "धीमा" बनाता है?
- 9. लाइटटैड रिवर्स प्रॉक्सी सेटिंग्स
- 10. क्या सीएक्सएफ क्लाइंट प्रॉक्सी थ्रेड सुरक्षित है?
- 11. nginx रिवर्स प्रॉक्सी एकाधिक बैकएंड
- 12. जीडब्ल्यूटी आवेदन पर रिवर्स प्रॉक्सी का असर क्या है?
- 13. क्या विधि थ्रेड-सुरक्षित बनाता है? नियम क्या हैं?
- 14. node.js में HTTPS प्रॉक्सी सर्वर
- 15. स्क्विड रिवर्स प्रॉक्सी कैसे सेट करें?
- 16. अपाचे प्रॉक्सीपास के साथ रिवर्स प्रॉक्सी
- 17. Google ऐप्स के साथ रिवर्स प्रॉक्सी?
- 18. जेएसएफडल एक्सएसएस आधारित हमलों से सुरक्षित क्या बनाता है?
- 19. आईआईएस 6 के लिए सर्वश्रेष्ठ रिवर्स प्रॉक्सी?
- 20. Node.js HTTPS सुरक्षित त्रुटि
- 21. Nginx रिवर्स प्रॉक्सी - पासथ्रू मूल स्वाभाविकता
- 22. एक रिवर्स प्रॉक्सी के रूप में फिडलर का उपयोग
- 23. अपाचे रिवर्स कैशिंग प्रॉक्सी - कैशिंग क्यों नहीं है?
- 24. क्या कोई रिवर्स "setValuesForKeysWithDictionary" है - एक makeDictionaryWithObjectProperties?
- 25. Node.js सेट MongoDB सुरक्षित चर
- 26. क्या SoapHttpClientProtocol धागा सुरक्षित है?
- 27. रूबी एक सुरुचिपूर्ण भाषा क्या बनाता है?
- 28. क्या लाटेक्स कमांड एक emdash बनाता है?
- 29. क्या SqlCommand.Clone() एक गहरी प्रतिलिपि या उथली प्रतिलिपि बनाता है?
- 30. क्या FILTER_VALIDATE_EMAIL डेटाबेस में सम्मिलन के लिए एक स्ट्रिंग सुरक्षित बनाता है?
यदि यह कॉर्पोरेट है, तो आपको इसे एनएटी (फ़ायरवॉल) के पीछे रखना चाहिए। अधिकांश हमलों के खिलाफ भी node.js बहुत सुरक्षित हो सकता है। – Alfred
@alfred: धन्यवाद, लेकिन "अधिकांश हमलों के खिलाफ बहुत सुरक्षित" कॉर्पोरेट सुरक्षा टीम को मनाने नहीं देगा। यह क्लाउड ऐप भी है जो कॉर्पोरेट एनएटी के पीछे नहीं है। –
आपका प्रश्न वास्तविकता से बहुत दूर है। घटना "पुराने srevers" xss और अन्य हमलों के लिए कमजोर हैं, जबकि यह आपके कोड में सर्वर नहीं है, सर्वर। इस दृष्टिकोण से पुराने सर्वर नोडज के रूप में असुरक्षित हैं। रिवर्स प्रॉक्सी केवल उदाहरण के लिए आपको "http.createserver" से बचा सकता है जब प्रॉक्सी सर्वर एक विकृत http अनुरोध (प्रोटोकॉल त्रुटि) का पता लगाता है और अनुरोध छोड़ देता है लेकिन नोडजेज़ में एक हाइपोटेटिकल बग संवेदनशील जानकारी का खुलासा करता। –