SR
они потом зашипили систему пермишнов, не помню как назывется, она в поставке есть, но выключена
Size: a a a
2020 May 17
SR
кстати, этим wasm пытаются в лучшем свете выставлять перед жвм
SR
вспомнил, что ты говорил про полумеры
SR
вот же
SR
все конфижится
AM
иначе говоря, при юзании го по умолчанию все закрыто, а при ноде все открыто
Интересно, сегодня постараюсь написать пример на go и nodejs когда у нас есть простой веб сервер, который подключает внешнюю либу, которая крадёт твой пользовательский .npmrc с токеном
SR
Интересно, сегодня постараюсь написать пример на go и nodejs когда у нас есть простой веб сервер, который подключает внешнюю либу, которая крадёт твой пользовательский .npmrc с токеном
вот тут уже писали
https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream/
https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream/
AM
По предыдущим мои cli утилитам на go я не заметил какой либо защиты
SR
AM
В ноде есть конечно же проблемы с этим, что все доступно, что доступно пользователю от которого запускают. Но я не помню, что бы это как то решалось из коробки в java, golang, kotlin, rust
SR
Интересно, сегодня постараюсь написать пример на go и nodejs когда у нас есть простой веб сервер, который подключает внешнюю либу, которая крадёт твой пользовательский .npmrc с токеном
читать вероятно сможет, а записать наверное нет
AK
Да никак это не решить, к сожалению 🙁 Либо свобода с рисками компрометации, либо жесткая модерация и последующее закукливание экосистемы
AK
читать вероятно сможет, а записать наверное нет
Для npm атак, которые ты описывал чтения вполне достаточно
SR
Для npm атак, которые ты описывал чтения вполне достаточно
не, там writeFile юзался
SR
там докачивались модули и ставились
SR
чтобы в коде сложнее найти было
SR
см тут
AM
в ноде можно и в рантайме скачать JS и его выполнить на сервере
AM
читать вероятно сможет, а записать наверное нет
по идеи должен уметь все, что умеет пользователь от которого запустили