Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом «404», но в случае существования пакета с запрошенным именем ошибка выдаётся […]