TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
ซอฟต์แวร์
ช่องโหว่ศูนย์วัน

เมื่อการตรวจสอบความปลอดภัย "สมบูรณ์แบบ" เพียงบรรทัดเดียว ล้มเหลวอย่างย่อยยับใน Next.js

ทีมชุมชน BigGo
เมื่อการตรวจสอบความปลอดภัย "สมบูรณ์แบบ" เพียงบรรทัดเดียว ล้มเหลวอย่างย่อยยับใน Next.js

ในโลกของการพัฒนาเว็บ บางครั้งโค้ดที่เรียบง่ายที่สุดก็สามารถซ่อนบั๊กที่อันตรายที่สุดไว้ได้ มีการอภิปรายขึ้นอีกครั้งเกี่ยวกับช่องโหว่ความปลอดภัยร้ายแรงที่เกิดขึ้นจากโค้ดที่ดูเหมือนจะไร้ที่ติ นั่นคือการตรวจสอบความเท่ากันเพียงบรรทัดเดียวที่กลับมอบสิทธิ์การเข้าถึงทุกอย่างให้กับทุกคนอย่างไม่น่าเชื่อ เหตุการณ์นี้เผยให้เห็นว่าการลดทอนความซับซ้อนของเฟรมเวิร์กสมัยใหม่สามารถสร้างฝันร้ายด้านความปลอดภัยที่คาดไม่ถึงได้อย่างไร

คำสัญญาที่หลอกลวงของโค้ดที่สมบูรณ์แบบ

ชุมชนต่างพูดถึงกรณีที่ฟังก์ชันที่ดูสมบูรณ์แบบอย่างการเปรียบเทียบอีเมลสำหรับการอนุญาตใช้งานล้มเหลวอย่าง catastrophic นักพัฒนาต่างแสดงความตกใจว่าทำไมโค้ดที่ตรงไปตรงมาขนาดนี้ถึงกลายเป็นความเสี่ยงด้านความปลอดภัยได้ ผู้แสดงความคิดเห็นหนึ่งคนสะท้อนความไม่เชื่อของทุกคนว่า My jaw dropped when learning how the security mechanism failed. ปัญหาหลักเกิดจากการที่ Next.js แปลงฟังก์ชันแบบ synchronous เป็น asynchronous โดยอัตโนมัติเมื่อใช้ server functions ทำให้สิ่งที่ควรจะเป็น boolean check กลายเป็น Promise object ที่ให้ค่าเป็นจริงเสมอ

พฤติกรรมสำคัญของ JavaScript

  • ฟังก์ชันแบบ Synchronous ในไฟล์เซิร์ฟเวอร์: return userMail === ownerMail; จะคืนค่าเป็น boolean
  • การแปลงเป็น async อัตโนมัติ: ฟังก์ชันเดียวกันจะคืนค่าเป็น Promise
  • Promise ในคำสั่ง if: จะถูกประเมินค่าเป็น true เสมอใน JavaScript

เวทมนตร์ของเฟรมเวิร์กสร้างฝันร้ายด้านความปลอดภัย

การอภิปรายนี้ชี้ให้เห็นว่าการลดทอนความซับซ้อนของเฟรมเวิร์กที่มีจุดประสงค์เพื่อทำให้การพัฒนาง่ายขึ้น สามารถนำไปสู่พฤติกรรมที่ละเอียดอ่อนแต่เป็นอันตรายได้ ดังที่นักพัฒนาคนหนึ่งระบุ All these footguns and confusion to avoid some boilerplate points to the trade-offs between convenience and predictability. การแปลงเป็น asynchronous โดยอัตโนมัติเกิดขึ้นอย่างมองไม่เห็น ข้ามการตรวจสอบประเภทของ TypeScript และสร้างสถานการณ์ที่สภาพแวดล้อมการพัฒนาไม่แสดงคำเตือนใดๆ ในขณะที่โค้ดสำหรับ production มีช่องโหว่ความปลอดภัยขนาดใหญ่ โหมดความล้มเหลวแบบเงียบนี้ทำให้บั๊กมีความร้ายกาจเป็นพิเศษ

เวอร์ชันที่ได้รับผลกระทบ vs เวอร์ชันที่แก้ไขแล้ว

  • Next.js 14.1.3: มีช่องโหว่จากบั๊ก Promise conversion แบบเงียบ ๆ
  • Next.js 14.2.33: แสดงข้อผิดพลาดแต่ยังคงสามารถ build ได้
  • Next.js 15.x & 16.x: มีข้อผิดพลาดในขั้นตอน build-time เพื่อป้องกันปัญหานี้

ข้อจำกัดในการทดสอบและความสับสนระหว่าง Client-Server

สมาชิกในชุมชนระบุช่องว่างในการทดสอบได้อย่างรวดเร็ว แม้ว่าการทดสอบหน่วยจะผ่าน แต่การทดสอบเหล่านั้นไม่ได้จับพฤติกรรมขณะรันไทม์ของเฟรมเวิร์ก We tested for both, the 'happy' and the negative path. But the Javascript unit tests are run without the framework in between, อธิบายโดยนักพัฒนาที่เกี่ยวข้องในเหตุการณ์นี้ สิ่งนี้เผยให้เห็นข้อจำกัดที่สำคัญของการทดสอบ นั่นคือการทดสอบฟังก์ชันแบบแยกส่วนไม่สามารถตรวจจับการเปลี่ยนแปลงในระดับเฟรมเวิร์กได้ นอกจากนี้ ยังมีข้อกังวลเกี่ยวกับแนวทางทางสถาปัตยกรรมด้วย โดยผู้แสดงความคิดเห็นหนึ่งคนตั้งคำถามว่าทำไมการตรวจสอบความปลอดภัยจึงต้องทำผ่าน server functions ที่ถูกเรียกจาก client ตั้งแต่แรก และเสนอว่าวิธีนี้สร้างความเสี่ยงด้านความปลอดภัยโดยธรรมชาติ

แนวทางแก้ไขที่แนะนำโดยชุมชน

  • ใช้ import 'server-only' แทน "use server" สำหรับฟังก์ชันที่มีความละเอียดอ่อนด้านความปลอดภัย
  • ใช้การตรวจสอบสิทธิ์ฝั่งเซิร์ฟเวอร์ที่เหมาะสมโดยไม่ต้องเรียกใช้จากฝั่งไคลเอนต์
  • ดำเนินการทดสอบแบบบูรณาการที่รวมถึงพฤติกรรมของเฟรมเวิร์ก ไม่ใช่แค่การทดสอบหน่วยเท่านั้น

บทเรียนสำหรับการพัฒนาเว็บสมัยใหม่

เหตุการณ์นี้ทำหน้าที่เป็นนิทานเตือนใจเกี่ยวกับการพึ่งพาเวทมนตร์ของเฟรมเวิร์กมากเกินไปโดยไม่เข้าใจกลไกพื้นฐาน เมื่อการอภิปรายพัฒนาขึ้น นักพัฒนาได้แบ่งปันแนวทางปฏิบัติที่ดีกว่า รวมถึงการใช้ import 'server-only' แทน use server สำหรับการดำเนินการที่สำคัญต่อความปลอดภัย และการทำให้แน่ใจว่าตรรกะความปลอดภัยที่สำคัญทำงานฝั่งเซิร์ฟเวอร์ทั้งหมดอย่างสมบูรณ์ ฉันทามติของชุมชนเน้นย้ำว่าในขณะที่เฟรมเวิร์กอย่าง Next.js ได้ปรับปรุงเครื่องมือและเอกสารประกอบตั้งแต่เหตุการณ์นี้แล้ว นักพัฒนาต้องคงความตื่นตัวเกี่ยวกับเลเยอร์ของการลดทอนความซับซ้อนที่พวกเขากำลังสร้างอยู่

ปฏิกิริยาของชุมชนเทคโนโลยีต่อบั๊กความปลอดภัยนี้แสดงให้เห็นถึงความสำคัญของการเข้าใจทั้งโค้ดของคุณและพฤติกรรมของเฟรมเวิร์กของคุณ แม้ว่าเครื่องมือการพัฒนาสมัยใหม่จะให้ประโยชน์ด้านประสิทธิภาพการทำงานอย่างไม่น่าเชื่อ แต่ก็ได้นำเสนอประเภทของความเสี่ยงใหม่ๆ ที่ต้องได้รับการพิจารณาอย่างรอบคอบและการทดสอบแบบบูรณาการอย่างละเอียด เมื่อเฟรมเวิร์กยังคงพัฒนาต่อไป นักพัฒนาต้องสร้างสมดุลระหว่างความสะดวกสบายของการลดทอนความซับซ้อนกับความจำเป็นในการเข้าใจสิ่งที่เกิดขึ้นเบื้องหลัง เพราะบางครั้ง โค้ดที่ดูสมบูรณ์แบบอาจจะผิดพลาดอย่างสมบูรณ์แบบก็ได้

อ้างอิง: When 'perfect' code fails

ข่าวที่เกี่ยวข้อง