https://opennet.dev/openforum/vsluhforumID3/128669.html В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57918<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#51 Tue, 18 Oct 2022 02:32:50 GMT А потом удивляемся дырам из-за таких смузихлёбов. Дыры by design.<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#50 Sat, 15 Oct 2022 07:43:28 GMT &gt;Вообще очень непросто защититься от такого<br><br>Конечно, это очень непросто проверить наличие у юзера прав доступа до поиска а не после. <br> https://opennet.dev/openforum/vsluhforumID3/128669.html#48 Sat, 15 Oct 2022 05:18:11 GMT Итак, есть система, заточенная на работу с глобальным репозиторием в первую очередь<br><br>Есть &#171;просто пакет&#187;, у него есть просто название и версия<br><br>Где, по возможности, подобная система будет искать &#171;просто пакет&#187; с просто версией, тем более что названия внутренних и внешних пакетов запросто могут пересекаться ?<br><br>Если нужны какие-то исключительно локальные пакеты, то там нередко идёт прямая ссылка на пакет( будь то гит например или даже локально, на каталог пакета ) во избежание множества чудес и улучшения переносимости проекта( если какие-то мелкие пакеты были допилены исключительно под конкретный проект, то их нередко и в рамках проекта держат, из проекта же они и ставятся по ссылке )<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#46 Fri, 14 Oct 2022 22:51:43 GMT https://registry.npmjs.org/<br><br>Скопировал из первой ссылки в новости, хотя это и так было очевидно<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#45 Fri, 14 Oct 2022 20:33:30 GMT нет NPM, нет и атак<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#42 Fri, 14 Oct 2022 18:15:36 GMT Какое дело честному человеку до репозиториев?<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#41 Fri, 14 Oct 2022 17:04:24 GMT Thread.Sleep(4); // chosen by fair dice roll, guaranteed to be random<br>тогда<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#40 Fri, 14 Oct 2022 17:02:42 GMT Проблема в том, что само название пакета и его существование может быть коммерческой тайной.<br> https://opennet.dev/openforum/vsluhforumID3/128669.html#39 Fri, 14 Oct 2022 16:38:21 GMT Какое дело честному человеку до левых репозиториев?<br>