0
我有一個運行在nodejs上的JavaScript應用程序。它讀取stdin以獲取用戶名和密碼以訪問一些在線服務。保護Node js運行時或禁用調試/檢測
如果需要重新登錄,這些憑證保留在應用程序運行期間(24/7)的整個變量中。
訪問服務器的人是否可以「調試」應用程序並獲取這些變量,就像人們在瀏覽器中一樣?或任何其他方式。
我對節點的內部工作仍然有點不甚瞭解。編程: 該應用程序正在Docker容器上運行!
A
回答
2
這取決於服務器。如果他們擁有root或Administrator管理員,他們可以通過多種方式獲得訪問權限,直至包括直接從內存中讀取它們。如果他們使用的是標準帳戶,那麼只要他們沒有與您的應用在同一個帳戶上運行,則可能會更安全。這總是一種可能性,但您可以通過使用單獨的帳戶,限制操作系統用戶對機器的訪問以及至少對憑證進行加密來最大限度地降低風險。還要確保權限已設置,以便他們不能寫入或讀取應用程序代碼,並且如果他們不應該執行它,也要阻止它。至於調試節點,我的理解是你必須在調試模式下顯式運行它。但還有其他方法可以肯定,所以最好限制訪問權限,特別是對服務器的物理訪問權限,並使用加密。更好的是,如果你能以加密形式卸載這些證書並清除任何持有它們的變量。
相關問題
- 1. 運行單元測試時禁用bootstrap.js
- 2. PHP:運行時禁用調試功能
- 3. 從Java或Groovy運行node-js
- 4. 測試受保護的API調用,摩卡,supertest,節點JS,護照
- 5. 在調試時禁用chrome數據保護程序
- 6. 如何測試保護的方法被調用或不
- 7. Jasmine-Node只運行第一個測試
- 8. 使用Intellij覆蓋範圍運行測試時禁用並行測試執行
- 9. VS2012 - 禁用並行測試運行
- 10. 運行Node js程序時出錯
- 11. 如何在調試時運行測試
- 12. 用node-inspector調試karma-jasmine測試
- 13. 使用Eclipse時的運行或調試?
- 14. 如何測試服務已啓動或未使用Node Js
- 15. Maven故障保護插件不能並行運行測試
- 16. Node-webkit保護數據
- 17. GDB調試保護
- 18. 如何檢查Nightmare JS是否在調試模式下運行
- 19. Codeigniter或Node js?
- 20. 在運行時檢查測試模式
- 21. Telerik測試工作室 - 運行此測試按鈕被禁用
- 22. 當老化保護啓動時檢測?
- 23. 嘗試調試擴展時,運行選項會定期禁用
- 24. 無法在測試期間禁用WTF CSRF保護
- 25. 爲自動測試禁用Chrome XSS保護
- 26. Node JS - C++插件的測試策略
- 27. 檢測正在運行的屏幕保護程序與xlib
- 28. 調試運行功能在IDEA禁用
- 29. 如何讓Application_End在調試時(或停止調試時)運行?
- 30. 如何在socket.io和node js上保護用戶的「通道」?
@Aus 1.必須假設攻擊者**將獲得root /管理員權限。 2.將雙因素身份驗證設置爲服務器。 – zaph
@zaph我編輯了這個問題,它在一個Docker容器上運行,我不知道它是相關的。 – Aus
它在Docker上運行,我正在閱讀使用「節點」用戶而不是默認的根。 – Aus