ngrok是一个安全的工具吗?我正在阅读一个教程,建议使用ngrok测试API响应,我对外部服务也需要连接到我的端点。
答案 0 :(得分:13)
我发现了良好的评价,但这里有空洞的信息:
http://www.scamadviser.com/is-ngrok.com-a-fake-site.html
对我来说是踢球者
https://developer.atlassian.com/blog/2015/05/secure-localhost-tunnels-with-ngrok/
Atlassian人非常推荐它。
我想我会用它。
答案 1 :(得分:10)
它为您的开发机打开了一条隧道,该隧道部分由晦涩难懂(难以猜测的子域)保护,也可以通过要求密码来进一步保护。 但是您仍在向ngrok敞开大门,而公司是completely opaque(无地址,无员工,无公司名称,无LinkedIn身分;我所能找到的就是拥有1至10名员工,并且是私有的;甚至不确定其总部位于哪个国家/地区。最重要的是,该代码不是开源的。没有理由认为他们不合法,但没有太多可用于建立信任的信息。
通过对流量进行加密,您也许可以更安全地使用ngrok和其他本地隧道服务。有关更多信息,请参见https://security.stackexchange.com/questions/177280/end-to-end-encryption-for-localtunnel-ngrok-setup/177357#177357。
答案 2 :(得分:8)
版本2.0没有可用的源代码,考虑到它在2014年作为一个开源项目开始。我怀疑任何代码都会从云打开到我的localhost的隧道。非常可怕的东西,特别是没有源代码!
答案 3 :(得分:2)
如果有人担心破坏他们的开发环境,可以使用Docker。有许多ngrok / docker项目,但这是我选择的项目:https://github.com/gtriggiano/ngrok-tunnel
对于macOS,请使用“TARGET_HOST = docker.for.mac.localhost”
答案 4 :(得分:1)
他们现在提供一项服务,您只需在本地运行 ssh,无需在您的机器上运行他们的任何代码。
您运行类似 ssh -R 80:localhost:8501 tunnel.us.ngrok.com http 的程序。这会连接到他们的主机之一,并将他们收到的连接转发回您的机器和您在 localhost:8501 上运行的服务。
这对我来说似乎很安全,唯一的问题是您不知道他们收集了哪些信息以及谁在连接到您公开的服务。他们打印所有连接,但这是他们的二进制文件执行此操作,有人可能会在您不注意的情况下监听。您可以检查自己的连接,但无法确定连接的是谁。