Мавка вразлива до запуску будь-якого коду

Question

Мавка вразлива до запуску будь-якого коду

kant2002 opened this issue a year ago · comments

Ось приклад коли можна запустити будь-який код із мережі.

підключити_розширення_з_мережі ("https://gist.githubusercontent.com/kant2002/c13111c484539706dd710630c0bc74d1/raw/81a2bbc5ea285cd28cb0c6692e1782c2f858691e/%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BA%25D0%25BB%25D0%25B0%25D0%25B4.%25D0%25BC")

Для сучасної мови бажано обмежити можливості запуску будь-якого коду із інтернету, або хоча би обмежити список ресурсів звідки можна завантажувати код.

Andrii Kurdiumov · Answer 1 · Wed Mar 29 2023 01:31:22 GMT+0800 (China Standard Time)

Ось результат роботи

 npm start .\тест.м

> mavka@0.10.5 start
> node src/bin/mavka.js .\тест.м

All your base are belong to us!

Код:
https://gist.githubusercontent.com/kant2002/c13111c484539706dd710630c0bc74d1/raw/81a2bbc5ea285cd28cb0c6692e1782c2f858691e/%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BA%25D0%25BB%25D0%25B0%25D0%25B4.%25D0%25BC

я поставив лише console.log але звичайно може бути що завгодно.

Давид · Answer 2 · Wed Mar 29 2023 02:03:02 GMT+0800 (China Standard Time)

Так, дійсно вразлива (так як і інші мови програмування). Тому і робимо пак.укр, щоб можна було мати одне сховище зовнішніх модулів, які можна модерувати і за потреби видаляти (або просто забороняти виконувати).

Пізніше можна зробити систему схожу на deno, де багато дій з OS потребують підтвердження від користувача.

Давид · Answer 3 · Mon Aug 14 2023 03:26:10 GMT+0800 (China Standard Time)

Проблему частково вирішено завдяки пак.укр. Пропозиція наразі закрити issue

Давид · Answer 4 · Thu Aug 24 2023 00:55:15 GMT+0800 (China Standard Time)

Issue буде закрито автоматично протягом 2 діб у випадку відсутності коментарів