Pull to refresh

Comments 6

TL;DR; сделать sandbox в NodeJS, аля как в ios / macos.

Не совсем понятно, как это защитит от eval. Или если плохой пакет будет воровать чужие импорты.

UFO just landed and posted this here
А что мешает пакету, реально работающему с ФС/Сетью/… начать воровать данные и вместо со своей нормальной работой их подменять? Ах да, ничего… www.infoq.com/news/2016/03/npm-infection
Как по мне, то мечты хороши, но лучше перенести головную боль за безопасность на операционную систему. миллипроцента быстродействия от использования потомков chroot + виртуалки совершенно не жалко, где нужна безопасность. Пихать политики на сторону ноды — расточительно и бестолково (хотя никто не знает что будет следующим хайпом). В текущей ноде и так достаточно не нужного мне лично стафа. Усилия по повышению безопасности в npmjs были бы на порядок востребованней.
Sign up to leave a comment.