ngrok是一个安全的工具吗?我正在阅读一篇教程,其中建议使用ngrok测试API响应,我对需要连接到我的端点的外部服务做出响应。
2.0版本没有可用的源代码,因为它是在2014年作为一个开源项目启动的。我怀疑有任何代码打开了从云中到本地主机的隧道。非常可怕的东西,尤其是没有源代码!
它打开了一条通往开发机器的隧道,该机器部分由模糊(一个难以猜测的子域)保护,并且可以通过需要密码来进一步保护但是你仍然在向ngrok本身敞开大门,而这家公司是完全不透明的(没有地址,没有员工,没有企业名称,没有LinkedIn;我所能找到的只是它有1-10名员工,而且是私人的;甚至不确定它的总部在哪个国家)。最重要的是,代码不是开源的。没有理由认为它们是不合法的,但没有很多信息可以用来建立信任。
通过加密流量,您可以使用ngrok和其他更安全的本地隧道服务。看见https://security.stackexchange.com/questions/177280/end-to-end-encryption-for-localtunnel-ngrok-setup/177357#177357了解更多信息。
我发现评级不错,但这里的信息空洞:
http://www.scamadviser.com/is-ngrok.com-a-fake-site.html
对我来说,关键是
https://developer.atlassian.com/blog/2015/05/secure-localhost-tunnels-with-ngrok/
Atlassian人极力推荐它。
我想我要用它了。
如果有人担心会损害他们的开发环境,你可以使用Docker。有很多ngrok/docker项目,但这里是我选择的一个:https://github.com/gtriggiano/ngrok-tunnel
对于macOS,请使用"TARGET_HOST=docker.for.mac.localhost"
他们现在提供了一种服务,您可以在本地只运行ssh,而无需在机器上运行他们的任何代码。
你运行类似ssh -R 80:localhost:8501 tunnel.us.ngrok.com http的程序。这将连接到它们的一个主机,并将它们接收到的连接转发回您的机器和您在localhost:8501上运行的服务。
这对我来说似乎很安全,唯一的问题是你不知道他们收集了什么信息,也不知道谁在连接你公开的服务。他们打印所有连接,但这是他们的二进制文件,有人可能会在你没有注意到的情况下收听。你可以检查你端的连接,但你不能确定连接的是谁。
它打开了一条通往开发机器的隧道,该机器部分由模糊(一个难以猜测的子域)保护,并且可以通过需要密码来进一步保护。但你仍然在向ngrok本身敞开大门,而这家公司完全不透明(没有地址,没有员工,没有企业名称,没有领英存在;我所能找到的只是它有1-10名员工,而且是私人的;甚至不确定它的总部在哪个国家)。最重要的是,代码不是开源的。没有理由认为它们是不合法的,但没有很多信息可以用来建立信任。
我遇到了类似的问题,找到了两种解决方案,可以直接在浏览器中查看应用程序
ngrok http 8080 --host-header="localhost:8080"
ngrok http --host-header=rewrite 8080
很明显,用上运行的任何端口替换8080
当我在嵌入式页面中使用这个解决方案时,这个解决方案仍然会引发一个错误,即从react应用程序中提取bundle.js。我认为,由于它在嵌入时将头重写为localhost,因此它正在寻找localhost,该应用程序不再在上运行