Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

De ontwikkelaars van het Node.js-platform, dat onder meer voor webservers wordt gebruikt, hebben uit voorzorg een update uitgebracht. Een beveiligingsprobleem in het platform kan tot gevolg hebben dat privégegevens van gebruikers uitlekken.

node.jsDoordat de lengte van een bepaalde string niet goed wordt gecontroleerd, is het in theorie mogelijk om http-headers te spoofen, om zo privégegevens van andere gebruikers te bemachtigen. Er is nog geen proof of concept, maar uit voorzorg is het gat gedicht en is er een beveiligingsupdate uitgebracht.

Het probleem zit in de http-parser van node.js, die zo kan worden gemanipuleerd dat informatie uit andere http-sockets wordt getoond. Daar zouden onder meer privégegevens bij kunnen zitten. Node.js is een platform dat vooral wordt gebruikt met webservers; het platform maakt het mogelijk om met javascript serverside-applicaties te bouwen. Node.js is gebaseerd op de javascript-engine van Google Chrome.

Moderatie-faq Wijzig weergave

Reacties (17)

Het probleem zit in de http-parser van node.js, die zo kan worden gemanipuleerd dat informatie uit andere http-sockets wordt getoond.
Een "http-socket" bestaat niet echt (HTTP is een application-level protocol, geen transport-level protocol). Waar het om gaat is dat data die voor ene request gebufferd is aan een andere request toegevoegd kan worden. Die data is niet direct bij de attacker beschikbaar, maar zou eventueel wel teruggestuurd kunnen worden (afhankelijk van wat de server precies met de request doet).
Geen goede reclame voor Node.js, maar het platform bestaat nog niet zo heel erg lang. Er zijn al vaker security issues geweest met ander platforms dus dit is ook zeker geen uitzondering.
juist wel goede reclame... ze dichten het lek voordat iemand het kan gebruiken. en ze zijn open over de beveiliging
er is nog geen proof of concept, maar uit voorzorg is het gat gedicht en is er een beveiligingsupdate uitgebracht.
Ik ga hiermee akkoord, het is inderdaad relatief goede publiciteit, het is beter dan het uitlekken van een kwetsbaarheid, en dan nog weken te moeten wachten tot je een patch krijgt die het oplost.
Dat is geen goede reclame maar gewoon zoals het hoort.
Is toch niks mis mee, zijn niet voor niks nog niet bij versie 1.0
Jammer dat er niet even in een kort zinnetje beschreven wordt wat node.js is.
Node.js is a platform built on Chrome's JavaScript runtime for easily building fast, scalable network applications. Node.js uses an event-driven, non-blocking I/O model that makes it lightweight and efficient, perfect for data-intensive real-time applications that run across distributed devices.
Geweldige software! Gebruik het elke dag! Gebruik zelf versie 4 maar ben nu weer herinnerd dat ik even moet updaten :P
Neem aan dat je 0.4 bedoelt.... ze zitten nu bij 0.6.

Mag ik vragen waar je het elke dag voor gebruikt? Het is namelijk vrij nieuw en nog geen proven-technology (niet 1.0 zeg maar) dus welk bedrijf is hier al echt mee bezig?
Hij kan het natuurlijk elke dag voor zichzelf gebruiken :)

Vooral in de startup scene wordt er wel redelijk veel gebruik gemaakt van nieuwe software als bijvoorbeeld Node.js:

http://www.quora.com/Whic...ing-node-js-in-production
Precies, node.js is erg populair bij startups (en andere bedrijven die elk dubbeltje moeten omdraaien) omdat je daardoor je backend kan ontwikkelen met (goedkope) webdevelopers ipv dure Java/.NET experts.

[Reactie gewijzigd door Dreamvoid op 8 mei 2012 16:46]

Jup gebruik het idd bij een startup :) We gebruiken het echter niet vanwege de kosten. Het is gewoon een heel mooi stukje software en vooral heel snel om ermee te ontwikkelen.
Het is vooral omdat de startup de keuze hadden en de gevestigde orde nog geen Node.JS kon kiezen omdat het nog niet beschikbaar was.
De boel helemaal omschrijven doe je natuurlijk niet zo snel.
Hij kan het natuurlijk elke dag voor zichzelf gebruiken :)
idd; ideaal platform om gewoon tooltjes in te schrijven (vooral dan i/o bound). Heb er zelf een soort van proxy voor tests in gemaakt; indien een HTTP request voldoet aan een bepaalde regex, geef een vast resultaat terug (met soms dynamische data), anders stuurt hij het request (incl. authenticatieheaders e.d.) door naar de echte webservice (van een 3e partij).
Node.js wordt al veel gebruikt, o.a. namen als Walmart, Linked-in en eBay. Volgens mij waren er nog een paar bekende namen, maar die kan ik me even niet herinneren/vinden. In deze gevallen wordt het geloof ik als back-end voor mobiele apps gebruikt. Dus ondanks dat het nog geen 1.0 versie heeft wordt het echt al gebruikt in serieuze live-omgevingen en is het in die zin al best proven.

Stukje over Linked-in met wat meer info:
http://venturebeat.com/2011/08/16/linkedin-node/
Er zijn gewoon aardig wat stable versies. Versienummers zeggen niet zo veel hier denk ik. Het is geen beta toch?
Ik bedoelde idd 0.4! Ik gebruik het bij een startup en ik ontwikkel een back-end voor een iPhone/Android applicatie

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True