5 Formas en las que Podrías Haber Hackeado Node.js

This ad is not shown to multipass and full ticket holders
JSNation US
JSNation US 2025
November 17 - 20, 2025
New York, US & Online
See JS stars in the US biggest planetarium
Learn More
In partnership with Focus Reactive
Upcoming event
JSNation US 2025
JSNation US 2025
November 17 - 20, 2025. New York, US & Online
Learn more
Bookmark
Rate this content

Todos los lenguajes son o han sido vulnerables a algún tipo de amenaza. Soy parte del equipo de Seguridad de Node.js y durante el año 2022, hemos realizado muchas Liberaciones de Seguridad y algunas de ellas fueron realmente difíciles de pensar.


¿Sabías que puedes ganar dinero encontrando vulnerabilidades críticas en Node.js? En esta charla, te mostraré 5 formas en las que podrías haber hackeado Node.js y cómo el equipo de Node.js maneja las vulnerabilidades.

This talk has been presented at JSNation 2023, check out the latest edition of this JavaScript Conference.

FAQ

Neo4m es aparentemente la empresa donde trabaja Rafael Gonzaga como ingeniero, aunque no se proporcionan detalles específicos sobre la naturaleza de la empresa en el texto.

Puedes utilizar la herramienta creada por Rafael Gonzaga llamada IsMyNodeVulnerable. Ejecutando el comando 'npx is my node vulnerable' podrás verificar si tu versión de Node.js tiene vulnerabilidades conocidas.

Si identificas una posible vulnerabilidad en Node.js, no debes abrir un problema público. En lugar de eso, debes consultar el archivo security.md de Node.js o utilizar la plataforma HackerOne para reportar la vulnerabilidad de manera responsable.

El equipo de evaluación de Node.js forma parte del equipo de seguridad y está compuesto por el Comité Directivo Técnico de Node.js, contribuyentes con experiencia en seguridad, el equipo de lanzamiento y de construcción de Node.js. Su función principal es evaluar las vulnerabilidades reportadas contra su modelo de amenazas y preparar soluciones y liberaciones de seguridad.

Si estás interesado en contribuir al grupo de trabajo de seguridad de Node.js, puedes enviar un mensaje a Rafael Gonzaga o visitar el repositorio correspondiente para obtener más información y participar.

La inyección DLL es una técnica utilizada por hackers para inyectar archivos maliciosos de biblioteca de enlaces dinámicos en un proceso en ejecución en sistemas Windows, alterando su comportamiento o ganando acceso no autorizado a sus recursos.

Un ataque de rebinding DNS engaña a tu ordenador para que visite un sitio web malicioso en lugar del previsto, manipulando la resolución DNS. Esto puede permitir a un atacante redirigir solicitudes a una IP maliciosa y potencialmente obtener acceso no autorizado a la máquina de la víctima.

Rafael Gonzaga
Rafael Gonzaga
22 min
05 Jun, 2023

Comments

Sign in or register to post your comment.
Video Summary and Transcription
El equipo de seguridad de Node.js es responsable de abordar las vulnerabilidades y recibe informes a través de HackerOne. La charla discute varias técnicas de hacking, incluyendo inyecciones DLL y ataques de reasignación DNS. También destaca las vulnerabilidades de seguridad de Node.js como el contrabando de solicitudes HTTP y la validación de certificación. Se enfatiza la importancia de usar el túnel de proxy HTTP y el modelo de permisos experimental en Node.js 20. NearForm, una empresa especializada en Node.js, ofrece servicios para escalar y mejorar la seguridad.

1. Introducción al Equipo de Seguridad de Node.js

Short description:

Hola a todos. Mi nombre es Rafael Gonzaga. Soy ingeniero en Neo4m. Soy miembro de algunas organizaciones de código abierto y soy miembro del DSC de Node.js, líder del grupo de trabajo de seguridad. Recientemente, comencé a codificar en vivo en Twitch. Así que, en primer lugar, todas las CV mencionadas aquí fueron abordadas. Asegúrate de estar utilizando una versión segura de Node.js. El equipo de seguridad de Node.js consta del equipo de evaluación de Node.js y el grupo de trabajo de seguridad. ¿Encontraste una posible vulnerabilidad de seguridad? Por favor, no abras un problema público. El proceso de presentación de vulnerabilidades de Node.js es bastante sencillo. Encuentras una posible vulnerabilidad y vas al hacker uno. El equipo de evaluación de Node.js recibe tu informe y lo evalúa contra nuestro modelo de amenazas.

Hola a todos. Mi nombre es Rafael Gonzaga. Soy ingeniero en Neo4m. Soy de Brasil. Soy miembro de algunas organizaciones de código abierto y soy miembro del DSC de Node.js, líder del grupo de trabajo de seguridad. Soy un lanzador de Node.js, así que si alguna de las compilaciones de Node.js te rompe, probablemente fue por mi culpa, ¿OK?

Así que recientemente, comencé a codificar en vivo en Twitch. Así que si te gusta este tipo de contenido, sígueme allí también. Estoy disponible en la mayoría de las redes sociales.

Entonces, OK, en primer lugar, antes de mostrar las partes malas de Node.js, me gustaría dar un descargo de responsabilidad diciendo que todos los lenguajes lo tienen e introducir un concepto de seguridad en el lenguaje de programación. Por ejemplo, en primer lugar, todas las CV mencionadas aquí fueron abordadas, ¿OK? Asegúrate de estar utilizando una versión segura de Node.js. Por ejemplo, escribí un paquete llamado IsMyNodeVulnerable. Si solo llamas a npx is my node vulnerable, podrás ver si estás utilizando una versión vulnerable de Node.js. Si es así, por favor actualiza, ¿OK?

Entonces, en primer lugar, presentaré al equipo de seguridad de Node.js. Básicamente, el equipo de seguridad de Node.js consta de dos grupos. El primero es el equipo de evaluación de Node.js. Está compuesto por el Comité Directivo Técnico de Node.js, contribuyentes específicos de Node.js con experiencia en seguridad, el equipo de lanzamiento de Node.js y el equipo de construcción, ¿OK? Y el segundo grupo es el grupo de trabajo de seguridad. Es un grupo de trabajo de la comunidad. Trabajamos en varias iniciativas de seguridad, y el modelo de permisos experimental o el modelo de permisos es solo uno de ellos. Puedes ser parte de él. Solo envíame un mensaje, puedes ir al repositorio y podrás verlo, ¿OK?

Entonces, vamos a lo que importa. ¿Encontraste una posible vulnerabilidad de seguridad? Por favor, no abras un problema público. Estarías divulgando la vulnerabilidad, y eso es crucial. Eso es muy malo para los mantenedores, porque necesitamos apurarnos. Necesitamos hacer muchas cosas en poco tiempo, y eventualmente es muy malo, en realidad. Así que normalmente, ve el archivo security.md en Node.js, podrás verlo. Si vas al hacker uno, también podrás verlo. Así que el proceso de presentar vulnerabilidades de Node.js es bastante sencillo, ¿OK? Encuentras una posible vulnerabilidad y vas al hacker uno. Hacker uno es una plataforma donde puedes presentar cualquier posible vulnerabilidad y evaluarla. Y luego llenas el formulario, y el equipo de evaluación de Node.js recibe tu informe. Y lo evaluamos contra nuestro modelo de amenazas.

2. Hackeando Node.js: Inyecciones DLL

Short description:

Y si eso se acepta, prepararemos una solución de seguridad y una liberación de seguridad. Puedes ganar dinero con ello a través de programas de recompensas por errores. Presentaré cinco formas en las que podrías haber hackeado Node.js. La primera es las inyecciones DLL, una técnica utilizada por los hackers para inyectar archivos maliciosos de biblioteca de enlaces dinámicos en un proceso en ejecución. Tomemos este ejemplo: estás en Windows, instalas un juego, y se instala un paquete malicioso que contiene un providers.dll. Este paquete requiere crypto, y cuando se inicializa, buscará providers.dll en el directorio de trabajo actual.

Y si eso se acepta, prepararemos una solución de security y una liberación de security. ¿De acuerdo? Entonces, bueno, puedes ganar dinero con ello a través de programas de recompensas por errores. ¿De acuerdo?

Entonces, en esta masterclass, presentaré cinco formas en las que podrías haber hackeado Node.js. Sin embargo, es importante mencionar que todas las vulnerabilities eran una amenaza. Así que no te preocupes.

La primera es las inyecciones DLL, ¿de acuerdo? Hola, usuarios de Windows. La inyección DLL es una técnica utilizada por los hackers para inyectar archivos maliciosos de biblioteca de enlaces dinámicos en un proceso en ejecución, modificando así su comportamiento o obteniendo acceso no autorizado a sus recursos.

Entonces, tomemos este ejemplo, ¿de acuerdo? Estás en Windows. De nuevo, lo siento, usuarios de Windows. Digamos que instalas cualquier tipo de juego. La mayoría de los juegos actuales necesitan abrir SSL. Así que tienes abierto SSL en tu máquina. Y luego estás siguiendo una publicación de blog, pero escribiste mal Fastify. Y luego instalas Fastify, ¿de acuerdo? Y luego este paquete, este es un paquete malicioso que contiene un providers.dll. Y el contenido de este dll es básicamente lo más peligroso que puedes hacer en Windows, que es abrir la calculadora, ¿de acuerdo? Y luego, bueno, este paquete requiere crypto, en realidad, al principio. Siempre que requieres crypto, HTTPS o módulo TLS en Node.js, inicializará open SSL. Y cuando se inicializa, buscará providers.dll en el directorio de trabajo actual. Y por ejemplo, si el paquete, paquete malicioso, contiene solo un script de post-instalación que llama a las versiones de NPM que, bajo el capó, requieren crypto, inicializará open SSL y cargará el providers.dll y luego sucede el ataque. Ahora piensa que ya no carga providers.dll en el directorio de trabajo actual.

3. Ataque de Rebinding DNS

Short description:

Hablemos de rebinding DNS. El rebinding DNS es una técnica utilizada para engañar a los usuarios para que visiten un sitio web malicioso en lugar del que tenían previsto. Un atacante puede utilizar el rebinding DNS para redirigir a los usuarios a una dirección IP no válida. El atacante puede entonces explotar el servidor DNS, que no está protegido por SSL o TLS, para realizar un ataque de hombre en el medio. Al mapear la solicitud a su IP de atacante con un tiempo de vida corto, el atacante puede interceptar la solicitud de la página y cargar contenido malicioso. El tiempo de vida asegura que los mensajes no queden atrapados en un bucle y funciona como un temporizador para la entrega de mensajes.

Así que vamos a la segunda. Hablemos de rebinding DNS. Entonces, cuando quieres visitar un sitio web como xample.com o jsnation.com, tu ordenador necesita saber la dirección IP de ese sitio web. Así que el DNS es como una guía telefónica. Para internet que ayuda a tu ordenador a encontrar la dirección IP correcta para el DNS.

Así que imagina que alguien quiere engañarte para que visites un sitio web malicioso en lugar del al que tenías previsto ir. Podrían utilizar algo llamado ataque de rebinding DNS para hacer esto. Así que supongamos que hay un usuario utilizando node-inspect. Esto abrirá el depurador de Node.js. Y luego accedes a attacker.com. Y attacker.com te redirige a una dirección IP no válida. Así que Node.js no estaba validando correctamente esa dirección IP. Así que iba al navegador. Y luego el navegador dice, OK, esta no es una dirección IP real, preguntaré al servidor DNS. El servidor DNS va a un servidor DNS con una conexión comprometida, lo que significa, OK, quiero la DNS o la dirección IP para el 10.0.2.555 en el puerto 9229. Y luego, bueno, puedes pensar, OK, el atacante tendría que tener acceso al servidor DNS y eso es difícil, en realidad no. DNS no está protegido por SSL o TLS. Así que si estás en la misma red, simplemente puede realizar un ataque de hombre en el medio.

Así que OK. Supongamos que el atacante ahora tiene acceso al servidor DNS. Y luego, cuando requieres, cuando solicitas la dirección IP para esa dirección IP no válida, mapea la solicitud a su IP de atacante con un tiempo de vida corto. ¿OK? Y luego la página intenta cargar un /JSON. El tiempo de vida es básicamente un número especial que se utiliza para asegurarse de que el mensaje enviado por Internet no quede atrapado en un bucle o siga yendo para siempre. Funciona como un temporizador que le dice al ordenador encargado de enviar el mensaje cuándo parar, intentar entregarlo si tarda demasiado. ¿OK? Así que, por ejemplo, solicito al servidor web la dirección IP de axample.com, y recibo un tiempo de vida, un tiempo de vida de, no sé, 60 segundos. Y luego si solicito la dirección IP de ese DNS en ese corto período de tiempo, antes de 60 segundos, recibo la misma IP. Si solicito la dirección IP después de los 60 segundos, realizará otra llamada DNS. ¿OK? Así que, OK. Luego está cargando el SlashJSON bajo la IP de ataque, y luego el tll expira. Y esta vez, requiere el servidor DNS de nuevo, y el atacante lo envía al local host.

4. Vulnerabilidades de Seguridad en Node.js

Short description:

Por lo tanto, expondrá el SlashJSON bajo su host local a la IP del atacante, lo que significa que mostrará la URL del WebSocketDebugger, y luego el atacante obtendrá acceso a su máquina. Y bueno, puede ejecutar lo que quiera, o ella quiera en su instancia de Node.js comprometida. El tercero es el contrabando de solicitudes 80PS. Hagamos una analogía aquí. Imagina que estás en un restaurante y quieres pedir una hamburguesa. Pero ahora imagina que alguien más en la mesa quiere pedir un refresco. Entonces escriben una nota con el pedido del refresco y la esconden dentro de tu pedido de hamburguesa, como un mensaje secreto. Hagámoslo de manera técnica ahora. Supongamos que solo haces una solicitud y luego tienes un CDN. Y luego tienes una red privada debajo, digamos que tengo un microservicio llamado usuarios. Y para que esto ocurra en la vulnerabilidad de Node.js, básicamente la codificación de transferencia era un encabezado requerido para explotarlo. Imagina que hay un usuario malicioso que envía una solicitud con el siguiente contenido, publica hoy barra. Y luego uno de los encabezados es la X punto y coma barra n. Esa es la nueva línea. Pero se envía un encabezado no válido utilizando solo LF, la barra n. Pero todavía está siendo procesado por Node.js, ¿OK? Entonces, lo que estaba sucediendo detrás de la escena es que, esta solicitud va al CDN, el CDN la envía al servidor, el servidor la interpreta como dos solicitudes, una POST a la barra y una GET a las cosas de administrador, aunque solo envié una solicitud.

Por lo tanto, expondrá el SlashJSON bajo su host local a la IP del atacante, lo que significa que mostrará la URL del WebSocketDebugger, y luego el atacante obtendrá acceso a su máquina. Y bueno, puede ejecutar lo que quiera, o ella quiera en su instancia de Node.js comprometida. Eso es muy malo. Es difícil de replicar, ¿OK? Pero sigue siendo un buen ataque. Y después de resolver esto, recibimos otro informe de que, OK, se solucionó el rebinding DNS, pero hay un caso límite en Apple, y luego lo solucionamos de nuevo. Sucede. Entonces sí. El tercero es el contrabando de solicitudes 80PS. Hagamos una analogía aquí. Imagina que estás en un restaurante, y quieres pedir una hamburguesa. Le das tu pedido al camarero, quien lo lleva a la cocina. Pero ahora imagina que alguien más en la mesa quiere pedir un refresco. Y quieren hacerlo de una manera sigilosa. Así que no lo ves. Entonces escriben una nota con el pedido del refresco y la esconden dentro de tu pedido de hamburguesa, como un mensaje secreto, ¿OK? Entonces el camarero toma tu pedido de hamburguesa y ve la nota del refresco escondida dentro. Pero como la nota está escondida, el camarero no se da cuenta de que hay dos pedidos separados. Y luego el camarero te trae una hamburguesa y un refresco, aunque solo pediste una hamburguesa, ¿OK? Hagamos eso. Hagámoslo de manera técnica ahora, ¿OK? Supongamos que solo haces una solicitud y luego tienes un CDN. Y luego tienes una red privada debajo, digamos que tengo un microservicio llamado usuarios, ¿OK? Y luego puedes tener, no sé, varios servidores. Tienes un balanceador de carga, proxy inverso. Realmente no importa. Y para que esto ocurra en la vulnerabilidad de Node.js, básicamente la codificación de transferencia era un encabezado requerido para explotarlo. Básicamente, la codificación de transferencia es un encabezado que sirve para decirle al servidor cómo interpretar los bytes en el cuerpo del encabezado de la solicitud, OK, también en el cuerpo del encabezado. Entonces imagina que hay un usuario malicioso que envía una solicitud con el siguiente contenido, publica hoy barra. Y luego uno de los encabezados es la X punto y coma barra n. Esa es la nueva línea. Esto estaba eludiendo la validación LLTP de Node.js. Entonces, Node.js estaba esperando un CLLF, que es retorno de carro-salto de línea, para separar correctamente los encabezados. Pero se envía un encabezado no válido utilizando solo LF, la barra n.

5. Navegando por las Vulnerabilidades de Seguridad en Node.js

Short description:

Pero aún así, Node.js lo procesa, ¿OK? Entonces, lo que estaba sucediendo detrás de escena es que, esta solicitud va al CDN, el CDN la envía al servidor, el servidor la interpreta como dos solicitudes, un POST a la barra y un GET a las cosas de administrador, aunque solo envié una solicitud. Entonces, tal vez las cosas de administrador no estaban expuestas a la red, a la web, aunque yo podría hacer esta solicitud. Eso es terrible, ¿OK? El otro es intentar leer desde rutas arbitrarias. Supongamos que estás en un host basado en Linux con varios usuarios y uno de los usuarios es malicioso. Un usuario malicioso crea un archivo falso openSSL.cnf que contiene la configuración maliciosa. El atacante puede modificar el generador de claves, alterar la configuración predeterminada y más. Node.js en el inicio estaba tratando de leer un archivo llamado openSSL.cnf en esa ubicación específica. El atacante podría averiguarlo usando herramientas de utilidad de Linux como strace. Hemos abordado este problema y creado una prueba para resolverlo. El último es la validación de certificación. Supongamos que realizas una solicitud GET al servidor con una dirección IP de cliente que es diferente, como un servidor PROC. Puedes usar una herramienta de proxy intermediario como HTTP Toolkit Proxy para interceptar solicitudes de depuración.

Pero aún así, Node.js lo procesa, ¿OK? Entonces, lo que estaba sucediendo detrás de escena es que, esta solicitud va al CDN, el CDN la envía al servidor, el servidor la interpreta como dos solicitudes, un POST a la barra y un GET a las cosas de administrador, aunque solo envié una solicitud.

Entonces, tal vez las cosas de administrador no estaban expuestas a la red, a la web, aunque yo podría hacer esta solicitud. Eso es terrible, ¿OK?

Entonces, el otro es intentar leer desde rutas arbitrarias. Básicamente, supongamos que estás en un host basado en Linux con varios usuarios y uno de los usuarios es malicioso, ¿OK? Sucede muy a menudo en universidades, ¿OK? Entonces, supongamos que un usuario malicioso crea un archivo falso openSSL, un archivo de configuración openSSL.cnf que contiene la configuración maliciosa. El openSSL.cnf es solo un archivo que contiene la configuración de seguridad para el openSSL, ¿OK? Entonces, el atacante puede hacer muchas cosas como modificar el generador de claves, alterar la configuración predeterminada y así sucesivamente. Y luego el usuario malicioso crea este falso openSSL.cnf en este archivo específico, io.js build ws.out.release y así sucesivamente y va a ese archivo largo. Y luego Node.js en el inicio estaba tratando de leer un archivo llamado openSSL.cnf en esa ubicación específica. Fue un error de nuestra parte. Entonces, el atacante pudo averiguarlo usando las herramientas de utilidad de Linux como strace. Lo usó para rastrear las llamadas del sistema, OK, así que simplemente llamó a strace y luego pudo ver, OK, estas son las llamadas abiertas que hace este programa específico. Y luego creo este archivo porque intentará leer este archivo específico y luego puedo hackearlo. OK, como dije, lo hemos abordado y he creado una prueba para abordar este problema. Entonces, si quieres ver el PR 46150, podrás ver cómo lo resolví.

Entonces, OK y luego OK, una vez que node.js lo carga, el atacante obtendrá acceso a ese open ssl y con una configuración personalizada. Entonces, ahora el atacante lo controla. Y OK, eso es malo. OK, es muy difícil de explicar, pero eso es malo.

El último, la validación de certificación. Personalmente, cometí este error y lo corregí, pero fue difícil. Entonces, supongamos que haces una solicitud normal. Realizas una solicitud GET al servidor y la IP del cliente es xsx porque es tu dirección IP. Pero luego quieres usar un servidor PROC. Es bastante común porque supongamos que quieres interceptar una solicitud, normalmente un servidor PROC, un depurador PROC ATP, es bueno para hacer eso. Y luego la dirección IP del cliente es diferente, es la III, la del servidor PROC. Puedes usarlo para proxies intermediarios. Hay otra herramienta llamada HTTP Toolkit Proxy. Puedes interceptar solicitudes de depuración. Eso es muy útil para los desarrolladores. Este es solo un ejemplo del proxy intermediario. Y luego supongamos que estás en una entrevista, y el entrevistador te pide que implementes un cliente de proxy HTTP, ¿OK? Y terminas con el siguiente ejemplo.

6. Tunelización de Proxy HTTP y Modelo de Permisos

Short description:

Realizar solicitudes HTTP a través de un proxy sin cifrado TLS puede exponer tus datos al espionaje de red. La tunelización de PROXY HTTP crea un túnel SSL seguro entre el proxy y el servidor, protegiendo tus datos. Utiliza una buena biblioteca de cliente HTTP como Onduchi. Node.js 20 introduce el modelo de permisos experimental, que permite un control detallado sobre el acceso a archivos. Un ejemplo demuestra cómo el modelo de permisos puede prevenir el acceso no autorizado a archivos sensibles.

Tengo el GET HTTP y el nombre del host es básicamente la URL del PROC. Y la solicitud del servidor es el servidor en el que quiero realizar la solicitud bajo el cliente del PROC. Básicamente en una solicitud de consulta, es básicamente así. El host local es mi servidor PROC. Sin embargo, no hagas eso. Lo hice para Undici, uno de los patrocinadores de Node.js. Y eso, ¿cómo puedo decirlo?, es dramático.

Bien, déjame explicar el problema. Cuando realizas ese tipo de enfoque, toda la conexión HTTP es, toda la conexión, todo el servidor, todos los datos que quieres enviar al servidor, se enviarán primero al servidor PROC en la otra conexión HTTP sin TLS. Entonces, cuando no hay TLS, significa que cualquiera en tu red, en tu red local, podrá espiar la red y leer todo el tráfico sin ningún cifrado, independientemente de si tu servidor solicitado es HTTPS o no. Y eso es muy malo, porque en ese caso, por ejemplo, en el caso de la UNDG. Estaba utilizando el agente PROXY, ¿ok? Y cada vez que envías una solicitud a XSample.com utilizando la URL del PROXY como localhost HTTP, es como una dirección predeterminada para AmandaMiddleProx o HTTP2Kit, si alguien entra en tu red y espía usando Wireshark, por ejemplo, como puedes ver en la línea azul, está mostrando mi usuario y mi contraseña en la red, aunque XSample.com es un servidor final TLS. Eso es malo. Por eso entra en juego la tunelización de PROXY HTTP. Básicamente creas un túnel PROXY SSL entre el PROXY y el servidor. Así que significa que el PROXY no podrá leer tus datos. Solo creará el túnel para ti entre el servidor y el PROXY. Así que ese es el enfoque más seguro.

Así que sé que la mayoría de vosotros no pasaréis por algo relacionado porque no creo que los entrevistadores os pidan hacer eso. Así que asegúrate de usar una buena biblioteca de cliente HTTP. Onduchi ahora es seguro. Entonces, ¿qué aprendemos de todo esto? El objetivo a menudo eres tú. Y Node.js 20 viene con una característica emocionante llamada modelo de permisos, guión, guión permiso experimental. Solo un ejemplo final. Supongamos que hay un humilde desarrollador tratando de resolver un problema. Va al tutorial, encuentra un paquete solucionador de problemas. El paquete solucionador de problemas se ve así. Estaba tratando de leer el etc.passwd que es básicamente el archivo de contraseñas. Pero este humilde desarrollador decide ser cauteloso y usar el permiso experimental para permitir solo lectura en los archivos que quiere. Y entonces el humilde desarrollador se salvó gracias al modelo de permisos, porque estaba tratando de acceder al etc.passwd y se le negó porque este permiso no fue otorgado explícitamente al proceso.

7. NearForm y Característica Experimental

Short description:

Esta es una buena característica, por favor háganla uso de ella. Es experimental, por lo que podrían esperar algunos errores por ahora. No la utilicen en producción hasta que se estabilice, considerando que es una característica de seguridad. NearForm es una empresa de servicios profesionales con contribuciones fundamentales a Node.js. Pueden ayudar a su negocio a escalar bajo la infraestructura de Node.js, cubriendo seguridad, rendimiento y más.

Esta es una buena característica, por favor háganla uso de ella. Es experimental, por lo que podrían esperar algunos errores por ahora. No la utilicen en producción hasta que se estabilice, considerando que es una característica de seguridad. Así que hay muchas otras banderas como AllowRead, Write, Child Process, Worker, y muchas cosas.

Y bien, eso es todo por mi parte. Un poco sobre NearForm. NearForm es una empresa de servicios profesionales. Estamos distribuidos en todo el mundo. Tenemos una contribución fundamental a Node.js. Soy miembro del Node.js TSE, pero también tenemos a otras dos personas en el equipo central de Node.js también. Así que ciertamente podemos ayudar a su negocio a escalar bajo la infraestructura de Node.js. Independientemente, seguridad, rendimiento, cubrimos muchas cosas.

Y eso es todo por mi parte. Gracias a todos.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
Cargadores ESM: Mejorando la carga de módulos en Node.js
JSNation 2023JSNation 2023
22 min
Cargadores ESM: Mejorando la carga de módulos en Node.js
Top Content
ESM Loaders enhance module loading in Node.js by resolving URLs and reading files from the disk. Module loaders can override modules and change how they are found. Enhancing the loading phase involves loading directly from HTTP and loading TypeScript code without building it. The loader in the module URL handles URL resolution and uses fetch to fetch the source code. Loaders can be chained together to load from different sources, transform source code, and resolve URLs differently. The future of module loading enhancements is promising and simple to use.
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Node Congress 2022Node Congress 2022
34 min
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Top Content
There is a need for a standard library of APIs for JavaScript runtimes, as there are currently multiple ways to perform fundamental tasks like base64 encoding. JavaScript runtimes have historically lacked a standard library, causing friction and difficulty for developers. The idea of a small core has both benefits and drawbacks, with some runtimes abusing it to limit innovation. There is a misalignment between Node and web browsers in terms of functionality and API standards. The proposal is to involve browser developers in conversations about API standardization and to create a common standard library for JavaScript runtimes.
Diagnostics de Node.js listos para usar
Node Congress 2022Node Congress 2022
34 min
Diagnostics de Node.js listos para usar
This talk covers various techniques for getting diagnostics information out of Node.js, including debugging with environment variables, handling warnings and deprecations, tracing uncaught exceptions and process exit, using the v8 inspector and dev tools, and generating diagnostic reports. The speaker also mentions areas for improvement in Node.js diagnostics and provides resources for learning and contributing. Additionally, the responsibilities of the Technical Steering Committee in the TS community are discussed.
El estado de la autenticación sin contraseña en la web
JSNation 2023JSNation 2023
30 min
El estado de la autenticación sin contraseña en la web
Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.
El Estado de Node.js 2025
JSNation 2025JSNation 2025
30 min
El Estado de Node.js 2025
The speaker covers a wide range of topics related to Node.js, including its resilience, popularity, and significance in the tech ecosystem. They discuss Node.js version support, organization activity, development updates, enhancements, and security updates. Node.js relies heavily on volunteers for governance and contribution. The speaker introduces an application server for Node.js enabling PHP integration. Insights are shared on Node.js downloads, infrastructure challenges, software maintenance, and the importance of update schedules for security.

Workshops on related topic

Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
JSNation US 2024JSNation US 2024
148 min
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
Featured Workshop
Gregor Biswanger
Gregor Biswanger
En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.
Masterclass de Node.js
Node Congress 2023Node Congress 2023
109 min
Masterclass de Node.js
Top Content
Workshop
Matteo Collina
Matteo Collina
¿Alguna vez has tenido dificultades para diseñar y estructurar tus aplicaciones Node.js? Construir aplicaciones que estén bien organizadas, sean probables y extensibles no siempre es fácil. A menudo puede resultar ser mucho más complicado de lo que esperas. En este evento en vivo, Matteo te mostrará cómo construye aplicaciones Node.js desde cero. Aprenderás cómo aborda el diseño de aplicaciones y las filosofías que aplica para crear aplicaciones modulares, mantenibles y efectivas.

Nivel: intermedio
Construir y Desplegar un Backend Con Fastify & Platformatic
JSNation 2023JSNation 2023
104 min
Construir y Desplegar un Backend Con Fastify & Platformatic
Top Content
WorkshopFree
Matteo Collina
Matteo Collina
Platformatic te permite desarrollar rápidamente GraphQL y REST APIs con un esfuerzo mínimo. La mejor parte es que también te permite desatar todo el potencial de Node.js y Fastify siempre que lo necesites. Puedes personalizar completamente una aplicación de Platformatic escribiendo tus propias características y plugins adicionales. En la masterclass, cubriremos tanto nuestros módulos de Open Source como nuestra oferta en la Nube:- Platformatic OSS (open-source software) — Herramientas y bibliotecas para construir rápidamente aplicaciones robustas con Node.js (https://oss.platformatic.dev/).- Platformatic Cloud (actualmente en beta) — Nuestra plataforma de alojamiento que incluye características como aplicaciones de vista previa, métricas integradas e integración con tu flujo de Git (https://platformatic.dev/). 
En esta masterclass aprenderás cómo desarrollar APIs con Fastify y desplegarlas en la Platformatic Cloud.
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Construyendo un Servidor Web Hiper Rápido con Deno
JSNation Live 2021JSNation Live 2021
156 min
Construyendo un Servidor Web Hiper Rápido con Deno
Workshop
Matt Landers
Will Johnston
2 authors
Deno 1.9 introdujo una nueva API de servidor web que aprovecha Hyper, una implementación rápida y correcta de HTTP para Rust. El uso de esta API en lugar de la implementación std/http aumenta el rendimiento y proporciona soporte para HTTP2. En este masterclass, aprende cómo crear un servidor web utilizando Hyper en el fondo y mejorar el rendimiento de tus aplicaciones web.
0 a Auth en una Hora Usando NodeJS SDK
Node Congress 2023Node Congress 2023
63 min
0 a Auth en una Hora Usando NodeJS SDK
WorkshopFree
Asaf Shen
Asaf Shen
La autenticación sin contraseña puede parecer compleja, pero es fácil de agregar a cualquier aplicación utilizando la herramienta adecuada.
Mejoraremos una aplicación JS de pila completa (backend de Node.JS + frontend de React) para autenticar usuarios con OAuth (inicio de sesión social) y contraseñas de un solo uso (correo electrónico), incluyendo:- Autenticación de usuario - Administrar interacciones de usuario, devolver JWT de sesión / actualización- Gestión y validación de sesiones - Almacenar la sesión para solicitudes de cliente posteriores, validar / actualizar sesiones
Al final del masterclass, también tocaremos otro enfoque para la autenticación de código utilizando Flujos Descope en el frontend (flujos de arrastrar y soltar), manteniendo solo la validación de sesión en el backend. Con esto, también mostraremos lo fácil que es habilitar la biometría y otros métodos de autenticación sin contraseña.
Tabla de contenidos- Una breve introducción a los conceptos básicos de autenticación- Codificación- Por qué importa la autenticación sin contraseña
Requisitos previos- IDE de tu elección- Node 18 o superior