好き
セキュリティ騒動を受けての冷静な判断。BFFとして使い倒すのは納得感あるな
良さそうだった
BFFがセッション管理に必要だからこそNext.jsがセキュリティ陥落してるのがまずいのでは。セッション管理こそセキュリティの要でしょう。Backendから見たら乗っ取られたセッションなのか区別つかない
RCE前提だと何やってもダメじゃない?もうその問題は解決済み!と言うなら変に境界線作らなくてもいいと思うし
クライアントのセッションハイジャックはどうあがいてもバックエンド側では検知も対処も出来ないのにそこを攻められてもな
nuxtはバージョンアップが辛いけど悩むことはあんまりない。
“CVE”
本件に過剰反応するならサーバーサイドJSの利用から疑ったほうがいいと思う。プロパティ代入という基本操作で攻撃が成立してしまうのはプロトタイプベース言語であるJSの欠点なので
RSCなんで実行可能なflightweightプロトコルを採用したんだろう。JSONを圧縮したプロトコルだと思い込んでた
「Next.js はApp Router以降、フルスタックフレームワークとしての道を失った」「Page RouterまではServerからClientへのPropsの境界が明確で(いわゆるgetServerSidePropsで境界が分かれてた)」
弊社はReactの資産も知識も無いので、レガシーを引きずるReact自体が選択肢から外れてる。あの脆弱性を作り出した開発者たちに根幹を預けるのはリスキーだと思わないんだろうか。
"「ブラウザの延長」と捉え、機密情報を保持しない" この考えもまあまあ危ないと思う。よくある「他人のデータが見えちゃう」をやりがち
たぶんこれが最適解なんだろうなー、という気がしてきている。
Struts2のOGNLみたいなことになってきたBFFについて。AppRouter以降、Vercelが付け足した"独自色"が癌になってきたので厳しい、けどまあSSR考えると現状これが一番こなれてるし、ドメインに時間を使いたいのはそう。
140MBもあるフレームワークを使うのはもうやめようぜ
こんなややこしいことをやってる理由がだんだんわからなくなるやつ
妥当な落とし所感 > 私が推奨する「Next.jsをBFFとして使う」構成は、あくまで「UIのためのデータ整形」「APIアグリゲーション」「API認可プロキシ」に徹します。
https://library.fortlewis.edu/Portals/7/LiveForms/temp/Does-Coinbase-work-24-hours-24-7-available-MArco-018.pdf
まあこの使い方がデファクトスタンダードでしょ。Cookieから取り出したものをリクエストに載せてどうこうしようしてる時点でどうしたって穴はあるんだから
書いてある通りバックエンドがマイクロサービスなら使うメリットはあると思う。ところでJSランタイム下でセッション管理する場合はどうやるのが一般的なんだろう
ただNext.jsを使う - カミナシ エンジニアブログ
好き
セキュリティ騒動を受けての冷静な判断。BFFとして使い倒すのは納得感あるな
良さそうだった
BFFがセッション管理に必要だからこそNext.jsがセキュリティ陥落してるのがまずいのでは。セッション管理こそセキュリティの要でしょう。Backendから見たら乗っ取られたセッションなのか区別つかない
RCE前提だと何やってもダメじゃない?もうその問題は解決済み!と言うなら変に境界線作らなくてもいいと思うし
クライアントのセッションハイジャックはどうあがいてもバックエンド側では検知も対処も出来ないのにそこを攻められてもな
nuxtはバージョンアップが辛いけど悩むことはあんまりない。
“CVE”
本件に過剰反応するならサーバーサイドJSの利用から疑ったほうがいいと思う。プロパティ代入という基本操作で攻撃が成立してしまうのはプロトタイプベース言語であるJSの欠点なので
RSCなんで実行可能なflightweightプロトコルを採用したんだろう。JSONを圧縮したプロトコルだと思い込んでた
「Next.js はApp Router以降、フルスタックフレームワークとしての道を失った」「Page RouterまではServerからClientへのPropsの境界が明確で(いわゆるgetServerSidePropsで境界が分かれてた)」
弊社はReactの資産も知識も無いので、レガシーを引きずるReact自体が選択肢から外れてる。あの脆弱性を作り出した開発者たちに根幹を預けるのはリスキーだと思わないんだろうか。
"「ブラウザの延長」と捉え、機密情報を保持しない" この考えもまあまあ危ないと思う。よくある「他人のデータが見えちゃう」をやりがち
たぶんこれが最適解なんだろうなー、という気がしてきている。
Struts2のOGNLみたいなことになってきたBFFについて。AppRouter以降、Vercelが付け足した"独自色"が癌になってきたので厳しい、けどまあSSR考えると現状これが一番こなれてるし、ドメインに時間を使いたいのはそう。
140MBもあるフレームワークを使うのはもうやめようぜ
こんなややこしいことをやってる理由がだんだんわからなくなるやつ
妥当な落とし所感 > 私が推奨する「Next.jsをBFFとして使う」構成は、あくまで「UIのためのデータ整形」「APIアグリゲーション」「API認可プロキシ」に徹します。
https://library.fortlewis.edu/Portals/7/LiveForms/temp/Does-Coinbase-work-24-hours-24-7-available-MArco-018.pdf
まあこの使い方がデファクトスタンダードでしょ。Cookieから取り出したものをリクエストに載せてどうこうしようしてる時点でどうしたって穴はあるんだから
書いてある通りバックエンドがマイクロサービスなら使うメリットはあると思う。ところでJSランタイム下でセッション管理する場合はどうやるのが一般的なんだろう