Sécuriser la distribution d'applications NodeJS

Quoi: Peut NodeJS apps être distribués en tant que binaire? c'est à dire. vous compilez le .js application via V8 dans sa binaire natif, et de distribuer des binaires à ses clients? (si vous avez un accès total au serveur NodeJS)... ou est-minifying le code tout ce que vous pouvez faire?

Pourquoi: Nous construisons serverside applications NodeJS pour les clients, qui ont souvent à être hébergés sur le client serveurs. La distribution de code source signifie que les clients peuvent facilement s'emparer de notre solution et de cesser de payer les frais de licence. Cela ouvre la possibilité de facile de la rétro-ingénierie ou la réutilisation de nos apps sans notre conscience.

Voir Node.js code de protection de l' et Est-il un moyen pour compiler node.js les fichiers source?. Il n'est pas facilement possible.
Ce que vous avez à faire est de ce n'est pas vraiment un problème technique.
Plus la discussion ici: groups.google.com/group/nodejs/browse_thread/thread/...

InformationsquelleAutor Robinicks | 2012-02-23

21

Oui, vous pouvez créer un format binaire. V8 vous permet de pré-compilation JavaScript. Notez que cela peut avoir un tas d'étranges effets secondaires sur les hypothèses formulées par le nœud de base.

La distribution de code source signifie que les clients peuvent facilement s'emparer de notre solution et de cesser de payer les frais de licence.

Juste parce que vous distribuez le binaire ne vous protège pas againsts vol. Ils peuvent encore voler le code binaire ou de le démonter. C'est de la protection par l'obscurité qui n'est pas une protection à tous.

Il est préférable de leur donner un thin client app qui parle à votre serveur et de garder votre code serveur sécurisé par ne pas le donner.
- Andino: Mais, même si vous pouvez compiler le code, ce qui empêche quelqu'un de prendre l'exécutable et les fichiers de données et de les installer sur une autre machine? La compilation d'un code n'est pas analogue à la fermeture d'une voiture. La compilation est une performance et de l'emballage de mesure, pas de mesure de sécurité.
- eh bien, mon seul moyen de défense pour que la logique est le nom de l'appelant.
- Ces choses sont généralement de perdre la course. Toutefois, de nombreuses ressources qui vous pompe dans "la sécurisation" de l'autre côté aura plus de ressources. Vous devez simplement vous inquiétez pas à ce sujet et vous assurer que votre entreprise ne dépend pas de la magie de la sauce dans votre code, mais sur de véritables non-valeur de code de votre entreprise produit.
- +1 pour la suggestion de client léger app. Mettant critique de la logique métier côté serveur, c'est plus "sûr" que la distribution de l'exécutable avec la même logique d'entreprise. Démontage binaires (et l'application de correctifs pour des fins malveillantes) est très facile à faire avec les outils existants à la date d'aujourd'hui.
- La façon de Nodejs a été l'évolution, la meilleure façon serait certainement être un client léger. Je suis d'accord avec @JamesAndino sur l'analogie bien 😛 je veux dire, par le brouillage, le développeur est juste réglage de la barre de plus, donc il y aura moins de gens qui peuvent faire de la rétro-ingénierie. Bien que, avec nodejs, il ne serait pas la peine de prendre tant de maux de tête. Essayez de planter une "thin client" votre approche client.
- Parfois, les clients sont tellement sécurisés que d'empêcher tout accès à internet. I. e. il y a des cas d'utilisation lors de la logique d'entreprise doit être sur le serveur du client. Donc, le problème de la sécurisation de l'node.js code du serveur est bien réel.
- D'accord w @Dzenly. En outre, "la protection conférée par l'obscurité qui n'est pas une protection à tous" est faux. comme kumar_harsh points, il ne fait qu'évoquer le bar, MAIS tout simplement parce que la barre n'est pas insurmontable ne signifie pas qu'il ne fournit pas de valeur, sinon on pourrait dire la même chose de tout système de sécurité. Cela est particulièrement vrai pour les produits d'entreprise. En outre, les clients qui nécessitent de haute sécurité, sont plus susceptibles d'avoir des contrôles rigoureux qui font qu'il est difficile, peut-être un fireable infraction, pour les employés afin d'inverser leurs produits des fournisseurs.
InformationsquelleAutor Raynos
23

Oui c'est possible, utilisez ce branche(basé sur 0.8.18) et tout code js que vous mettez dans 'deps/v8/src/extra-snapshot.js" seront en avance sur le temps compilé en code machine et intégrées dans des v8 dans le cadre de la normale builtin l'initialisation de l'objet. Vous aurez besoin de construire nodejs pour chaque plate-forme que vous souhaitez déployer votre produit.

La snapshotted code s'exécute très tôt dans le v8 de l'initialisation et vous ne pouvez pas accéder builtin objets dans le module 'corps'. Ce que vous pouvez faire est de mettre tout votre code à l'intérieur d'un mondial de l'initialisation de la fonction qui doit être appelée plus tard. Ex:
```
//'this' points to the same as the object referenced by 
//'global' in normal nodejs code.
//at this point it has nothing defined in it, so in order to use
//global objects a reference to it is needed.
var global = this;
global.initialize = function() {
  //You have to define all global objects you use in your code here;
  var Array = global.Array;
  var RegExp = global.RegExp;
  var Date = global.Date;
  //See ECMAScript v5 standard global objects for more
  //Also define nodejs global objects:
  var console = global.console;
  var process = global.process;
  //Your code goes embedded here
};
```
Aussi, cela suppose que votre code est défini dans un fichier unique, donc si votre projet utilise des nodejs système de module(exiger), vous devez écrire un script qui va regrouper tous vos fichiers dans un seul et envelopper chaque fichier dans une fermeture qui va tromper votre code en pensant que c'est normal d'un module nodejs. Probablement chaque module de fermeture d'exposer un besoin de la fonction, et cette fonction aurait pour décider quand délégué à la norme mondiale.besoin d'un ou de retourner les exportations à partir de vos autres modules intégrés. Voir comment javascript module de mise en œuvre des systèmes pour des idées(requirejs est un bon exemple).

Cela permettra de rendre votre code plus difficile à déboguer depuis que vous avez l'habitude de voir des traces de pile pour le code natif.

Mise à JOUR:

Même à l'aide d'un v8 de snapshots le code est intégré dans le node.js binaire car v8 préfère paresseux compilation. Voir cette pour plus d'informations.
- Merci c'est très utile, je dois essayer.
InformationsquelleAutor Thiago de Arruda
8

EncloseJS.

Vous obtenez un entièrement fonctionnel binaire sans les sources.

Code JavaScript est transformé en code natif au moment de la compilation à l'aide de V8 interne du compilateur. Par conséquent, vos sources ne sont pas nécessaires pour exécuter le binaire, et ils ne sont pas emballés.

Parfaitement optimisé en code natif peut être générée uniquement au moment de l'exécution basé sur la machine du client. Sans cette info EncloseJS peut générer seulement "unoptimized" du code. Il fonctionne sur 2x plus lent que NodeJS.

Aussi, node.js exécution de code est mis à l'intérieur de l'exécutable (avec votre code) de nœud support de l'API pour votre application au moment de l'exécution.

Cas d'utilisation:
- Faire une version commerciale de votre application sans sources.
- Faire une démonstration, d'évaluation ou d'essai de la version de votre application, sans sources.
- Faire une sorte d'archive auto-extractible ou l'installateur.
- Faire un fermé source interface graphique de l'application à l'aide de nœud de poussée.
- Pas besoin d'installer un nœud et npm pour déployer l'application compilée.
- Pas besoin de télécharger des centaines de fichiers via npm install pour déployer votre application. De le déployer comme un seul fichier indépendant.
- Mettre vos biens à l'intérieur de l'exécutable pour le rendre encore plus portable.
  Test de votre application contre le nouveau nœud version sans installation.
- La licence de EncloseJS ne permettent pas d'utilisation commerciale.
- Désolé, mais il le fait, il vous suffit de contacter le dev. Gratuit pour un usage non commercial ne signifie pas que vous ne pouvez pas l'utiliser. Cela signifie que vous aurez à payer pour l'utiliser.
- EncloseJS est obsolète. C'est le successeur pkg est open source et distribué sous licence MIT. github.com/zeit/pkg
InformationsquelleAutor Robinicks
3

Je suis en train d'étudier la même chose et je suis à la recherche à nexe qui prétend être capable de "créer un exécutable unique de votre node.js apps".

Ne peux pas vous dire si c'est tout bon pour l'instant, mais pensé qu'il serait intéressant de partager déjà.
- il veut xcode sous mac os
- Nexe, permet de créer un exécutable autonome, mais ne pas obscurcir le code. vous pouvez facilement récupérer le code javascript à la fin de l' (gros) fichier binaire.
InformationsquelleAutor kvz
2

V8 génère du code machine natif à l'interne et à l'exécute. Regardez ici: https://github.com/v8/v8-git-mirror/blob/master/src/compiler.cc#L1178 . Cette fonctionnalité est utilisée dans EncloseJS. EncloseJS analyse les sources de votre node.js projet, les faisceaux de dépendances, et fait un binaire exécutable. Les sources ne sont pas inclus dans le paquet binaire compilé en code machine.
- C'est seulement le paresseux compilé en code natif ! (2 fois plus lente que la optimisé qu'ils disent)
InformationsquelleAutor Igor Klopov

Vous devez vous connecter pour publier un commentaire.