N
если напишете код который пускает чужака на сервер - так и будет
Size: a a a
2021 January 21
С
вы бы больше код писали, чем переживали за такое
так я и писал, вот настал момент деплоя первого приложения на ноде))
NP
так я и писал, вот настал момент деплоя первого приложения на ноде))
Сомневаюсь, что твое приложение кто-то будет взламывать, давай так
N
но, ты можешь так же создать файл config.js и положить в него что-то типа
export default {
port: process.env.PORT || 3000,
host: process.env.HOST || '127.0.0.1',
}++, так можно в объекты группировать конфиги + дефолтные значения
y
понятно, просто по sequalize читал какую-то статью англоязычного разработчика, он в ней писал, что не полагайтесь на него в плане фильтрации данных, фильтруйте предварительно данные сами, и ещё движки часто в паблик на ноде некоторые попадают, поэтому и задумался о безопасности
Входящие данные действительно надо проверять. Для этого, например, есть joi. Sequalize может только экранировать символы при вставке, большего от него не жди.
NP
Все самые тривиальные уязвимости разрабы фреймворков закрыли за тебя
С
Входящие данные действительно надо проверять. Для этого, например, есть joi. Sequalize может только экранировать символы при вставке, большего от него не жди.
спасибо! ща загуглю)
N
Входящие данные действительно надо проверять. Для этого, например, есть joi. Sequalize может только экранировать символы при вставке, большего от него не жди.
joi кстати еще актуален? я его обычно и использую, но он там что то мейнтенера менял, с группы @ hapi выходил
Y💜
а гипотетически если всё ровно, никак нельзя получить доступ к конфигу или любому другому js файлу?
Лучше не думать о конкретных примерах, а просто понять суть работы своего кода и в целом как работают приложения и понимание безопасности само придет со временем, возможно через набивание шишек
y
joi кстати еще актуален? я его обычно и использую, но он там что то мейнтенера менял, с группы @ hapi выходил
конечно. Переход от @hapi/joi к joi ничего не поменял
NP
Лучше не думать о конкретных примерах, а просто понять суть работы своего кода и в целом как работают приложения и понимание безопасности само придет со временем, возможно через набивание шишек
как я ранее говорил - любой код всегда имеет уязвимости. Эти уязвимости, при этом, могут быть даже на уровне той же ноды, например, или ее http-модуля.
NP
Разрабы ноды их оперативно закрывают, но все же
NP
Ты бы лучше беспокоился за качество своего кода и, если ты делаешь апишку, над валидацией данных
С
как я ранее говорил - любой код всегда имеет уязвимости. Эти уязвимости, при этом, могут быть даже на уровне той же ноды, например, или ее http-модуля.
ну вот, кстати, уязвимость есть в пакете ipdata, там старая версия аксиоса используется в зависимостях и разраб до сих пор не устранил её
N
Ты бы лучше беспокоился за качество своего кода и, если ты делаешь апишку, над валидацией данных
кстати в твоем пет фрейворке как будет работать валидация?
NP
докер тебе просто изолирует окружение и сделает твою жизнь чуточку легче, ибо докер-приложения легко масштабируются, а при должной сноровке отлично сочетается с CI/CD
С
Ты бы лучше беспокоился за качество своего кода и, если ты делаешь апишку, над валидацией данных
валидация это понятное дело, приоритет намбер ван
N
ну вот, кстати, уязвимость есть в пакете ipdata, там старая версия аксиоса используется в зависимостях и разраб до сих пор не устранил её
это вывод npm audit?
С
это вывод npm audit?
ага
С
критическая уязвимость