YARN上的web应用代理

作者: 疯狂小兵 | 2016-12-07 | 阅读
「编辑」 「本文源码」

应用代理

web的应用代理是YARN的一部分。默认情况下是作为RM的一部分运行的,但是也可以配置成独立运行的模式。 代理的原因是减少通过YARN进行web攻击的可能性。

在YARN中,ApplicationMaster(AM)负责提供web的界面并且并发送链接到RM。这里有许多潜在的问题。 RM作为可信的用户在运行,并且人们访问该web地址将探测到它,并认为它提供给他们的链接是可信的。 当真实的AM作为非可信用户运行时。那么它给RM的链接可能会指向任何恶意的或其他意图的链接。 web应用代理通过警告用户他们连接的非可信的网站不拥有该应用权限来降低该风险。

另外,代理也在努力减少恶意的AM拥有一个用户的影响。主要是通过从用户中剔除cookie来实现,并使用提供了登录用户的用户名的单一的cookie来替代。

这是因为大多数基于web身份验证系统将识别用户的cookie。通过提供这cookie给一个不受信任的应用程序就会打开潜在的漏洞。 如果cookie设计得当,可能应该是相当少,但这只是减少潜在的攻击向量。当前代理的实现并没有阻止AM提供恶意外部网站的链接,也没有做任何事情来阻止恶意javascript代码的运行。

事实上,JS通常可以获取到cookie,因此从请求中剥离cookie现在来说是最低的好处了。

未来我们希望解决上述攻击向量并使附加AM的web界面更安全。


版权声明:本文由 在 2016年12月07日发表。本文采用CC BY-NC-SA 4.0许可协议,非商业转载请注明出处,不得用于商业目的。
文章题目及链接:《YARN上的web应用代理》




  相关文章:

「游客及非Github用户留言」:

「Github登录用户留言」:

TOP