mirror of
https://github.com/goldbergyoni/nodebestpractices.git
synced 2025-10-31 17:47:26 +08:00
Fix typo.
This commit is contained in:
mr
@ -871,7 +871,7 @@ null == undefined; // true
|
|||||||
|
|
||||||
<a href="https://www.owasp.org/index.php/Top_10-2017_A2-Broken_Authentication" target="_blank"><img src="https://img.shields.io/badge/%E2%9C%94%20OWASP%20Threats%20-%20A9:Broken%20Authentication%20-green.svg" alt=""/></a>
|
<a href="https://www.owasp.org/index.php/Top_10-2017_A2-Broken_Authentication" target="_blank"><img src="https://img.shields.io/badge/%E2%9C%94%20OWASP%20Threats%20-%20A9:Broken%20Authentication%20-green.svg" alt=""/></a>
|
||||||
|
|
||||||
**TL;DR:** JSON Web Token を(例えば [Passport.js](https://github.com/jaredhanson/passport) などを用いて)利用する場合、デフォルトでは、発行されたトークンからのアクセスを無効にする仕組みはありません。悪意のあるユーザーのアクティビティを発見したとしても、そのユーザーが有効なトークンを持っている限り、システムへのアクセスを止めることはできません。各リクエストで検証される、信頼されていないトークンのブラックリストを実装することで、この問題をを緩和することができます。
|
**TL;DR:** JSON Web Token を(例えば [Passport.js](https://github.com/jaredhanson/passport) などを用いて)利用する場合、デフォルトでは、発行されたトークンからのアクセスを無効にする仕組みはありません。悪意のあるユーザーのアクティビティを発見したとしても、そのユーザーが有効なトークンを持っている限り、システムへのアクセスを止めることはできません。各リクエストで検証される、信頼されていないトークンのブラックリストを実装することで、この問題を緩和することができます。
|
||||||
|
|
||||||
**さもないと:** 期限切れや、誤って配置されたトークンは、アプリケーションにアクセスしたり、トークンの所有者になりすますために、サードパーティによって悪意を持って利用される可能性があります。
|
**さもないと:** 期限切れや、誤って配置されたトークンは、アプリケーションにアクセスしたり、トークンの所有者になりすますために、サードパーティによって悪意を持って利用される可能性があります。
|
||||||
|
|
||||||
@ -1207,7 +1207,7 @@ CMD [ "node", "dist/app.js" ]
|
|||||||
|
|
||||||
**TL;DR:** Docker のビルド環境からシークレットが漏洩することを避けてください。Docker イメージは一般的に、 CI や本番環境ほどサニタイズされていないレジストリといった複数の環境で共有されます。典型例としては、通常 dockerfile に引数として渡される npm トークンがあります。このトークンは必要となったタイミング以降も残り続け、攻撃者がプライベート npm レジストリにアクセスすることを無期限に許可することになります。これは、シークレットを `.npmrc` のようなファイルにコピーしてマルチステージビルドを用いてそれを削除する(ビルド履歴も削除するべきであることに注意してください)か、トレースを残さない Docker build-kit のシークレット機能を利用することで回避することができます。
|
**TL;DR:** Docker のビルド環境からシークレットが漏洩することを避けてください。Docker イメージは一般的に、 CI や本番環境ほどサニタイズされていないレジストリといった複数の環境で共有されます。典型例としては、通常 dockerfile に引数として渡される npm トークンがあります。このトークンは必要となったタイミング以降も残り続け、攻撃者がプライベート npm レジストリにアクセスすることを無期限に許可することになります。これは、シークレットを `.npmrc` のようなファイルにコピーしてマルチステージビルドを用いてそれを削除する(ビルド履歴も削除するべきであることに注意してください)か、トレースを残さない Docker build-kit のシークレット機能を利用することで回避することができます。
|
||||||
|
|
||||||
**さもないと:** CI と docker レジストリへのアクセス権限を持っている人は誰でも、おまけとして貴重な組織の情報にアクセスできてしまします。
|
**さもないと:** CI と docker レジストリへのアクセス権限を持っている人は誰でも、おまけとして貴重な組織の情報にアクセスできてしまいます。
|
||||||
|
|
||||||
🔗 [**さらに読む: ビルド時のシークレットをクリーンアウトする**](/sections/docker/avoid-build-time-secrets.japanese.md)
|
🔗 [**さらに読む: ビルド時のシークレットをクリーンアウトする**](/sections/docker/avoid-build-time-secrets.japanese.md)
|
||||||
|
|
||||||
@ -1284,7 +1284,7 @@ CMD [ "node", "dist/app.js" ]
|
|||||||
|
|
||||||
## ステアリングコミッティー
|
## ステアリングコミッティー
|
||||||
|
|
||||||
ステアリングコミッティーのメンバーをご紹介します。このプロジェクトのガイダンスと将来の方向性を提供するために協力してくださっている方々です。さらに、コミッティーの各メンバーは、[Github プロジェクト](https://github.com/goldbergyoni/nodebestpractices/projects)で管理されているプロジェクトをリードしています。
|
ステアリングコミッティーのメンバーをご紹介します。このプロジェクトのガイダンスと将来の方向性を提供するために協力してくださっている方々です。さらに、コミッティーの各メンバーは、[GitHub プロジェクト](https://github.com/goldbergyoni/nodebestpractices/projects)で管理されているプロジェクトをリードしています。
|
||||||
|
|
||||||
<img align="left" width="100" height="100" src="assets/images/members/yoni.png">
|
<img align="left" width="100" height="100" src="assets/images/members/yoni.png">
|
||||||
|
|
||||||
|
|||||||
Reference in New Issue
Block a user