Я думаю, что в мире nodejs нам нужно что-то вроде WordPress. Что-то блестящее, полезное и отвечающее потребностям многих людей, но не совсем безопасное в первые годы своего существования. Есть причина, по которой каждая современная среда PHP делает все возможное, чтобы предотвратить привлечение инъекций, подделку межсайтовых запросов, неправильное управление сеансами и т. Д. Это потому, что сообщество видело, что происходит, когда популярное приложение недостаточно безопасно. Или, может быть, есть не такой радикальный способ убедить больше людей взглянуть на OWASP? На самом деле эти ребята проделывают потрясающую работу! Трудно найти лучший и более надежный источник знаний о безопасности веб-приложений.
Некоторое время назад мне было интересно, как сделать управление сеансом с помощью паспорта более безопасным, и я описал это здесь https://medium.com/@lukaszmakuch/how-secure-are-old-sessions-cf3d06bc1825. Я также отправил запрос на перенос паспорта, но он не был принят. Приятно то, что один из официальных примеров в экспресс-репозитории (https://github.com/expressjs/express/blob/master/examples/auth/index.js) демонстрирует, как предотвратить фиксацию сеанса.
