¿Qué tan peligroso es permitir conexiones locales a servidores remotos de selenio?

0

Hay servicios como BrowserStack o Sauce Labs que ayudan con las pruebas y la automatización de pruebas en diferentes navegadores y dispositivos.

Pero, para resolver el problema de una aplicación en prueba detrás de una VPN o un firewall, implementan y ofrecen esta idea de "pruebas locales" :

  

Local Testing establece una conexión segura entre su máquina y los servidores de BrowserStack. Una vez que configura las pruebas locales, todas las URL funcionan de forma inmediata, incluidas las que tienen HTTPS, varios dominios, así como las que están detrás de un proxy o firewall, y mucho más.

¿Qué riesgos estamos asumiendo al permitir que el servidor remoto de selenium en BrowserStack acceda a los recursos internos? ¿Qué tan segura es esta configuración y hay algo que podamos hacer para mejorar la seguridad?

    
pregunta alecxe 26.12.2017 - 19:20
fuente

1 respuesta

1

Básicamente, está permitiendo que un tercero externo acceda a cualquier recurso accesible a través de HTTP desde su computadora. Esto incluye recursos en su máquina local y dentro de su red local. Los peligros de esto deberían ser obvios: si se puede obtener información confidencial a través de HTTP (S) desde su sistema, este tercero podría ser robado.

Y tenga en cuenta que incluso los datos a los que HTTP no puede acceder pueden ser robados: si no usa la extensión de Chrome pero el binario proporcionado está ejecutando un código de terceros en su sistema con los mismos permisos que usted. Por lo tanto, este código tiene acceso también a archivos locales, volúmenes de red montados, etc.

En otras palabras: si no confías plenamente en este servicio, no lo uses. Alternativamente, utilícelo solo dentro de un entorno que no contenga datos que valga la pena robar y donde no se puede acceder a dichos datos desde dentro del entorno.

    
respondido por el Steffen Ullrich 26.12.2017 - 21:18
fuente

Lea otras preguntas en las etiquetas