Ich möchte node.js in die Cloud für eine Anwendung stellen, die sensible Unternehmensinformationen enthält. Ich fürchte, node.js ist nicht so sicher wie einige der älteren Server, da es nicht viel los war. Ich sah Leute, die empfahlen, einen Reverse-Proxy damit zu verwenden, um es sicherer zu machen. Ich verstehe, wie es sicherer ist, da es nicht direkt der Welt ausgesetzt ist. Dennoch sind XSS und andere Angriffe möglich. Nur aus Sicherheitsgründen denkt jemand, dass node.js den älteren Servern ebenbürtig ist? Gibt es Tipps, wie Sie Ihren Chef und das Sicherheitsteam des Unternehmens überzeugen können?
Theoretisch würde ein Reverse-Proxy keine Anfragen weiterleiten, die er selbst nicht verarbeiten konnte (einschließlich solcher, die er absichtlich blockieren soll).
Wenn es jedoch Bugs in node.js gab, die zum Beispiel den Inhalt bestimmter Variablen bei einer Anfrage wie
offen legen würden %Vor%wird empfangen, dann würde der Proxy diese Anfrage nur weiterleiten und die Antwort an den Client (Angreifer) weiterleiten.
Es gibt also immer noch Risiken ...
Der Weg, um den Chef und die Sicherheitsteams zu überzeugen, ist zu demonstrieren, dass Sie die Probleme durchdacht haben und einen vernünftigen und realistischen Plan haben, sie zu testen.
In jeder Unternehmenssituation wird Ihr Proxy nur ein kleiner Teil der Gesamtsicherheit sein und auf diese Weise werden die Risiken verwaltet.
Um so etwas zu testen, müssen Sie eine Anzahl von * un * sinnvollen Anfragen an den Proxy senden. Ich mag den Vorschlag von juand, zum Beispiel sollten Sie auch sehr große Anfragen an den Proxy senden.
Ein Node.js-Proxy sollte mindestens so sicher sein wie ein Apache oder in der Tat ein benutzerdefinierter Python / C ++ - Proxy, da Sie ihm nur erlauben müssen, sehr spezifische Elemente zu proxygrafieren.
Warum erstellen Sie keinen Hardcore Locking Proxy auf Python, C ++, etc, der den Zugriff kontrolliert? Jeder, der diesen Proxy übergibt, ist ein vertrauenswürdiger Benutzer, und node.js arbeitet mit ihnen zusammen.
Tags und Links security xss node.js reverse-proxy cloud