WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Trình quản lý gói tin Node.js npm hỗ trợ toàn diện HTTPS
Quản trị mạng của npm (trình quản lý gói tin Node.js) – dịch vụ và công cụ dòng lệnh (command-line tool) quan trọng đối với các nhà phát triển trên toàn cầu – vừa tiến một bước lớn trong việc phát triển công cụ của mình bằng cách bổ sung hỗ trợ toàn diện HTTPS.
Bắt đầu từ ngày 1/4, dịch vụ npm phản hồi tất cả truy vấn dữ liệu có nội dung thông qua HTTPS. Trước thời điểm cập nhật này, nội dung, nếu được truy vấn thông qua HTTP, vẫn được truyền qua HTTP.
Trong những tuần tới, CDN của dịch vụ sẽ hiển thị thông báo chuyển hướng 301cho tất cả người dùng gửi truy vấn từ HTTP, chuyển hướng truy vấn tới phiên bản HTTPS tương ứng.
Thao tác chuyển hướng này cũng sẽ hiển thị một thông báo về sự chậm trễ, cho biết người dùng có thể tránh được nếu truy vấn ban đầu được thực hiện thông qua HTTPS.
npm management nhấn mạnh thực tế là sự thay đổi này đã không được thực hiện bởi họ nghi ngờ bất cứ điều gì độc hại, do vậy các khách hàng npm CLI, những người sử dụng nhiều nhất, cũng áp dụng cơ chế xác nhận shasum cho tất cả các dữ liệu được gửi đến.
Tuần trước, tin tức đưa về loại hình tấn công mới trên npm registry sử dụng một loại mã độc phát tán nhanh. Bản cập nhật npm không bảo vệ được người dùng khỏi kiểu tấn công này, nhưng sự thay đổi đáng hoan nghênh này sẽ gia tăng tính an ninh cho dịch vụ.
Đối tượng bị ảnh hưởng nặng nề nhất bởi sự thay đổi này có lẽ là các công ty lưu trữ gói tin npm trong môi trường phát triển của địa phương.
Nguồn: Softpedia
Bắt đầu từ ngày 1/4, dịch vụ npm phản hồi tất cả truy vấn dữ liệu có nội dung thông qua HTTPS. Trước thời điểm cập nhật này, nội dung, nếu được truy vấn thông qua HTTP, vẫn được truyền qua HTTP.
Trong những tuần tới, CDN của dịch vụ sẽ hiển thị thông báo chuyển hướng 301cho tất cả người dùng gửi truy vấn từ HTTP, chuyển hướng truy vấn tới phiên bản HTTPS tương ứng.
Thao tác chuyển hướng này cũng sẽ hiển thị một thông báo về sự chậm trễ, cho biết người dùng có thể tránh được nếu truy vấn ban đầu được thực hiện thông qua HTTPS.
npm management nhấn mạnh thực tế là sự thay đổi này đã không được thực hiện bởi họ nghi ngờ bất cứ điều gì độc hại, do vậy các khách hàng npm CLI, những người sử dụng nhiều nhất, cũng áp dụng cơ chế xác nhận shasum cho tất cả các dữ liệu được gửi đến.
Tuần trước, tin tức đưa về loại hình tấn công mới trên npm registry sử dụng một loại mã độc phát tán nhanh. Bản cập nhật npm không bảo vệ được người dùng khỏi kiểu tấn công này, nhưng sự thay đổi đáng hoan nghênh này sẽ gia tăng tính an ninh cho dịch vụ.
Đối tượng bị ảnh hưởng nặng nề nhất bởi sự thay đổi này có lẽ là các công ty lưu trữ gói tin npm trong môi trường phát triển của địa phương.
Nguồn: Softpedia