igoradamenko

egor.baranov

funbox

m.mamontenko

@funboxteam/webpack-dev-server-firewall

- [Use of a Broken or Risky Cryptographic Algorithm](https://github.com/advisories/GHSA-r9p9-mrjm-926w) in [elliptic](https://github.com/indutny/elliptic). Updated from 6.5.3 to 6.5.4.

- [Regular Expression Denial of Service](https://github.com/advisories/GHSA-43f8-2h32-f4cj) in [hosted-git-info](https://github.com/npm/hosted-git-info). Updated from 2.8.8 to 2.8.9.

- [Command Injection](https://github.com/advisories/GHSA-35jh-r3h4-6jhm) in [lodash](https://github.com/lodash/lodash). Updated from 4.17.19 to 4.17.21.

* Prepare the package for publishing on GitHub.

* Fix the bug that freezes ESLint during linting. 

* Fix the bug which leads to duplicating IPs in the known hosts file.

  "name": "@funboxteam/webpack-dev-server-firewall",

  "description": "Firewall for webpack-dev-server",

  "keywords": ["webpack", "webpack-dev-server", "firewall"],

    "url": "https://github.com/funbox/webpack-dev-server-firewall"

    "webpack-dev-server-firewall": "./cli.js"

  "author": "Igor Adamenko <mail@igoradamenko.com> (https://igoradamenko.com)",

    "lint": "eslint --cache --ext .js ./"

    "@funboxteam/eslint-config": "5.0.0",

      "eslint --fix --cache -c .eslintrc.js"

# @funboxteam/webpack-dev-server-firewall

[![npm](https://img.shields.io/npm/v/@funboxteam/webpack-dev-server-firewall.svg)](https://www.npmjs.com/package/@funboxteam/webpack-dev-server-firewall)

The package prevents uncontrollable access to dev server by asking manual approve from the developer when someone

When frontend developers run webpack-dev-server on localhost they sometimes want to check the result on the different 

devices (e.g. smartphones, tablets). By default it's hard to do, because the server is bound on `127.0.0.1` and isn't 

allowed to receive connections from other computers.  

So, most of the time developers rebind server to `0.0.0.0` (by setting `host` option in webpack config) to make 

it available over the local network. But at the same time it grants anyone from the same network 

a permission to connect to the server, see the project and steal the code. Usually dev servers also serve source maps, 

which makes the source code fully visible too. 

Such dev server setup may harm even pet-projects if there are any sensitive credentials in the source code. 

This firewall prevents unwanted connection to the server. It intercepts all the incoming requests, 

checks their hosts' IPs against the list of allowed ones, and passes them through or denies.  

npm install --save-dev @funboxteam/webpack-dev-server-firewall

To use the package add it into your project's webpack config as `devServer.before` 

(or `devServer.setup` for [webpack-dev-server@<2.9.0](https://github.com/webpack/webpack-dev-server/releases/tag/v2.9.0)).

const firewall = require('@funboxteam/webpack-dev-server-firewall');

`firewall` function expects an [Express application](https://expressjs.com/en/4x/api.html#app) as an argument.

In case of other `before` hooks existence, inject it in this way: 

It's important to run `firewall` before others hooks.

By default the package allows requests from `127.0.0.1` only.

When the request from other IP appears the package asks for developer's approve in the terminal 

    [./src/app/sw.js] 2.82 KiB {0} [built]

192.168.1.46 is trying to get access to the server. Allow? [yes / no]:

If the developer approves the connection, IP is added into the list of known hosts,

and all the next connections will be allowed automatically.

192.168.1.46 has been added to known hosts.

If the developer denies the connection, the client using that IP will get response with 403 HTTP code.

1. The package **does not** work as a filter of unwanted connections.

   If the developer denies the connection once, it doesn't mean that it will be ignored in the future.

   In case of reconnection from the suspicious IP, the package will ask for developer's approval again.

- [Protect your dev server](https://dev.to/igoradamenko/protect-your-dev-server-gob)

[![Sponsored by FunBox](https://funbox.ru/badges/sponsored_by_funbox_centered.svg)](https://funbox.ru)

Пакет предотвращает неконтролируемый доступ к серверу разработки, 

запрашивая подтверждение при подключении с незнакомого IP.

Когда разработчики запускают webpack-dev-server на локальной машине, им порой нужно проверить результат работы 

с каких-то ещё устройств (например, со смартфонов или планшетов). По умолчанию это сложно сделать, 

потому что сервер поднят на `127.0.0.1` и недоступен для соединения с других компьютеров.

Чаще всего для решения этой проблемы разработчики переподнимают сервер на `0.0.0.0` (устанавливая опцию `host`

в конфиге Вебпака), тем самым делая доступным сервер в локальной сети для других устройств. Но в то же время 

это позволяет любому пользователю из той же сети получить доступ к серверу, увидеть проект и украсть код. А поскольку 

чаще всего дев-сервера раздают ещё и соурс-мапы, то кто угодно может увидеть весь исходный код.

Подобная настройка сервера может сыграть злую шутку даже с пет-проектами, если в их коде есть какие-то 

конфиденциальные данные.

Этот фаерволл предотвращает несогласованный доступ к серверу. Он перехватывает все входящие соединения,

сверяет их IP со списком разрешённых и пропускает или отклоняет запросы, в зависимости от результата проверки.

Для того, чтобы пакет начал работать, необходимо подключить его в конфиге

Вебпака, в разделе `devServer.before` 

(или `devServer.setup`, если [webpack-dev-server@<2.9.0](https://github.com/webpack/webpack-dev-server/releases/tag/v2.9.0)):

Функция `firewall` ожидает [Express application](https://expressjs.com/en/4x/api.html#app) в качестве аргумента,

потому, если в проекте уже используются какие-то `before`-хуки, можно сделать так:

Важно в таком случае подключать `firewall` до всех остальных обработчиков.

По умолчанию пакет пропускает только запросы с `127.0.0.1`.

Если возникает запрос с иного IP, обработчик запрашивает подтверждение в терминале, где запущен webpack-dev-server:

Если пользователь соглашается на подключение, IP добавляется в список разрешённых,

и все последующие подключения с него будут разрешены:

Если пользователь запрещает подключение, клиент, с которого пришёл запрос, 

получает ответ с кодом 403.

1. Пакет **не** работает как фильтр нежелательных соединений. 

   Если пользователь запретил соединение однажды, это не значит, 

   что оно будет игнорироваться и дальше. При повторном подключении с этого IP 

   пакет снова выдаст предупреждение и запросит подтверждение.

		# Changelog

		## 2.0.1 (10.06.2021)

		Fixed several security vulnerabilities:

		- [Use of a Broken or Risky Cryptographic Algorithm](https://github.com/advisories/GHSA-r9p9-mrjm-926w) in [elliptic](https://github.com/indutny/elliptic). Updated from 6.5.3 to 6.5.4.

		- [Regular Expression Denial of Service](https://github.com/advisories/GHSA-43f8-2h32-f4cj) in [hosted-git-info](https://github.com/npm/hosted-git-info). Updated from 2.8.8 to 2.8.9.

		- [Command Injection](https://github.com/advisories/GHSA-35jh-r3h4-6jhm) in [lodash](https://github.com/lodash/lodash). Updated from 4.17.19 to 4.17.21.


		## 2.0.0 (21.07.2020)
		@@ -4,0 +15,0 @@

		{
		"name": "@funboxteam/webpack-dev-server-firewall",
		"version": "2.0.0",
		"version": "2.0.1",
		"description": "Firewall for webpack-dev-server",
		"keywords": ["webpack", "webpack-dev-server", "firewall"],
		"keywords": [
		"webpack",
		"webpack-dev-server",
		"firewall"
		],
		"repository": {
		@@ -7,0 +11,0 @@ "type": "git",

		@@ -159,2 +159,6 @@ # @funboxteam/webpack-dev-server-firewall

		## Resources

		- [Protect your dev server](https://dev.to/igoradamenko/protect-your-dev-server-gob)

		[![Sponsored by FunBox](https://funbox.ru/badges/sponsored_by_funbox_centered.svg)](https://funbox.ru)

		@@ -162,2 +162,6 @@ # @funboxteam/webpack-dev-server-firewall

		## Статьи

		- [Protect your dev server](https://dev.to/igoradamenko/protect-your-dev-server-gob)

		[![Sponsored by FunBox](https://funbox.ru/badges/sponsored_by_funbox_centered.svg)](https://funbox.ru)

Improved metrics