Мавка вразлива до запуску будь-якого коду
kant2002 opened this issue · comments
Ось приклад коли можна запустити будь-який код із мережі.
підключити_розширення_з_мережі ("https://gist.githubusercontent.com/kant2002/c13111c484539706dd710630c0bc74d1/raw/81a2bbc5ea285cd28cb0c6692e1782c2f858691e/%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BA%25D0%25BB%25D0%25B0%25D0%25B4.%25D0%25BC")
Для сучасної мови бажано обмежити можливості запуску будь-якого коду із інтернету, або хоча би обмежити список ресурсів звідки можна завантажувати код.
Ось результат роботи
npm start .\тест.м
> mavka@0.10.5 start
> node src/bin/mavka.js .\тест.м
All your base are belong to us!
я поставив лише console.log
але звичайно може бути що завгодно.
Так, дійсно вразлива (так як і інші мови програмування). Тому і робимо пак.укр, щоб можна було мати одне сховище зовнішніх модулів, які можна модерувати і за потреби видаляти (або просто забороняти виконувати).
Пізніше можна зробити систему схожу на deno, де багато дій з OS потребують підтвердження від користувача.
Проблему частково вирішено завдяки пак.укр. Пропозиція наразі закрити issue
Issue буде закрито автоматично протягом 2 діб у випадку відсутності коментарів