Tag Archives: nodejs

Node.js 第一個 8.x LTS 推出

推出啦:「Node v8.9.0 (LTS)」,另外可以看「NEWS: Node.js 8 Moves into Long-Term Support and Node.js 9 Becomes the New Current Release Line」這篇。 從 6 到 8 多了 async & await (ES7),應該會是對整個生態系改變最大的功能了,可以預期會有一堆人濫用... XD 剛剛測 n 的 lts 參數發現還沒更新,先用 n 8.9.0 換上去...

Posted in Computer, Murmuring, Programming, Software|Tagged , , , , , , , , , , , |Leave a comment

Node.js 安全性更新:zlib...

前幾天「Node.js 預定在十月 24 號發表安全性更新」提到 Node.js 會發表安全性更新,已經看到 4/6/8 都出新版了:「Node v4.8.5 (Maintenance)」、「Node v6.11.5 (LTS)」、「Node v8.8.0 (Current)」。 這次安全更新的 CVE 是 CVE-2017-14919: CVE-2017-14919 - In zlib v1.2.9, a change was made that causes an error to be raised when a raw deflate stream is … Continue reading

Posted in Computer, Library, Murmuring, Network, Programming, Security, Software|Tagged , , , , , , , |Leave a comment

nvm 換 n

前幾天在 Twitter 上抱怨 nvm 很慢,導致 Zsh 開起來很頓 (然後也同步到 Facebook 上): nvm 很慢的問題還是沒解啊... — Gea-Suan Lin (@gslin) October 14, 2017 原因在於 .bashrc 或是 .zshrc 內初始化 nvm 時會呼叫 npm config get prefix,而這個命令很慢:「`npm config get prefix` takes incredibly long (7 - 70 seconds) … Continue reading

Posted in Computer, Library, Murmuring, Programming, Software|Tagged , , , , , , , , , |Leave a comment

Node.js 預定在十月 24 號發表安全性更新

在「DOS security vulnerability, October 2017」這邊先發佈了日期與影響範圍,細節預定在 10/24 發表: The Node.js project will be releasing new versions of 4.x, 6.x, and 8.x the week of the 24th of October to incorporate a security fix. Versions 4.8.2 and later of Node.js are vulnerable. … Continue reading

Posted in Computer, Murmuring, Programming, Security, Software|Tagged , , , , |1 Comment

V8 對 Hash Flooding 的防禦措施

Hash Flooding 問題是指 Hash 這個資料結構是可以被預測 collision 所造成的問題,在隨機的情況下會是 的操作,在特定挑選故意讓他 collision 而變成 ,當有 個元素時,乘起來就會變成 。這算是一種阻斷攻擊 (DoS attack)。 在「About that hash flooding vulnerability in Node.js...」這邊提到了 V8 之前為了避免 Hash Flooding 的問題,關掉了 Startup snapshot 而造成的效能問題,以及後續的很多故事,最後找了長期的解法。 這個解法已經併入 Node.js 裡,預定下個包括的版本是 8.3.0: The patch to re-enable startup snapshot … Continue reading

Posted in Computer, Murmuring, Programming, Security|Tagged , , , , , , , , , , , , |1 Comment

AWS Lambda 的 Node.js 支援 6.10 了

AWS Lambda 總算是支援 Node.js 6.10 了:「AWS Lambda Supports Node.js v6.10」。不過 6 還是沒有原生的 async/await,目前的 7 才有... 還是要靠 module 支援。 繼續用 Python 2.7 寫... @_@

Posted in AWS, Cloud, Computer, Murmuring, Network, Programming|Tagged , , , , , , , , |Leave a comment

在 CloudFront 的 edge 上跑 Lambda

所以 Amazon CloudFront 讓使用者在 edge 上跑程式了 (雖然目前是 limited preview):「Lambda@Edge – Preview」。 分成 Viewer Request、Origin Request、Origin Response 以及 Viewer Response 四個階段可以插入修改。另外有些限制: Because your JavaScript code will be part of the request/response path, it must be lean, mean, and self-contained. It cannot … Continue reading

Posted in AWS, CDN, Cloud, Computer, Murmuring, Network, Programming, WWW|Tagged , , , , , , , , , , |2 Comments

在 Python 的 pip、Nodejs 的 npm、Ruby 的 RubyGems 上面放木馬研究?

在 Python 領域裡常用 pip 安裝軟體: $ pip install reqeusts 或是: $ sudo pip install reqeusts 其他的平台也大致類似於這樣的動作。而在「Typosquatting programming language package managers」這篇文章裡,作者用 typo 之類的方式列出可能的名稱,像是這樣的名稱: $ sudo pip install reqeusts 然後在這三個平台上發動攻擊,上傳了數百個套件並且觀察: All in all, I created over 200 such packages and equipped them … Continue reading

Posted in Computer, Murmuring, Network, Programming, Security, Software|Tagged , , , , , , , , , , , , , |Leave a comment

AWS Lambda 支援 Node.js 4.3

AWS 宣佈 Lambda 支援 Node.js 4.3:「AWS Lambda Supports Node.js 4.3」: You can now develop your AWS Lambda functions using Node.js 4.3.2 in addition to Node.js 0.10.4. 另外同步在「Node.js 4.3.2 Runtime Now Available on Lambda」這邊也有文章介紹。 這樣總算可以拿出新的套件以及語法了...

Posted in AWS, Cloud, Computer, Murmuring, Network, Programming|Tagged , , , , , , , , , , , |Leave a comment

用 BitTorrent DHT 分散架構的 Twitter

看到「Decentralized feeds using BitTorrent's DHT. Idea from Arvid and The_8472 "DHT RSS feeds" http://libtorrent.org/dht_rss.html」這個東西,基於 BitTorrent 的 DHT 所開發出來,完全分散架構的 Twitter-like 系統。 目前的 client 界面長這樣: 也可以顯示外部圖片: 如同作者說的,BitTorrent 的 DHT 的抵抗力很好。的確是因為種種原因,有不少單位常常攻擊他,希望他掛掉或是不穩,而這麼多年下來,由於一開始的設計上就有考慮到這樣的攻擊,實戰也存活得很好: BitTorrent's DHT is probably one of the most resilient and censorship-resistant networks … Continue reading

Posted in Computer, Murmuring, Network, P2P, Social, Software|Tagged , , , , , , , |Leave a comment