ngrok 是一个安全的工具吗?我正在阅读一个教程,该教程建议使用我对需要连接到我的端点的外部服务所做的 ngrok 测试 API 响应。
考虑到 2.0 版本是在 2014 年作为开源项目启动的,因此没有可用的源代码。我怀疑有任何代码从云端打开到我的本地主机的隧道。非常可怕的东西,尤其是没有源代码!
它打开了一条通往您的开发机器的隧道,该隧道部分受到模糊性(难以猜测的子域)的保护,并且可以通过要求密码来进一步保护。 但是你仍然对ngrok本身开放......
原版(2021):
...你仍然向 ngrok 本身敞开心扉,而该公司完全不透明(没有地址、没有员工、没有公司名称、没有 LinkedIn 存在;我所能找到的只是它有 1-10 名员工并且是私人的;甚至不确定它位于哪个国家)。最重要的是,该代码不是开源的。没有理由认为它们不合法,但没有太多信息可用于建立信任。
您可以通过加密流量来更安全地使用 ngrok 和其他本地隧道服务。请参阅 https://security.stackexchange.com/questions/177280/end-to-end-encryption-for-localtunnel-ngrok-setup/177357#177357 了解更多信息。
更新(2023):
该公司现在确实有一个网站(包含服务条款、隐私政策、定价,甚至某种“信任中心”)、名称后面的“Inc”、LinkedIn以及位于圣保罗的地址谷歌地图中的弗朗西斯科。
我发现评价不错,但这里的信息很空洞:
http://www.scamadviser.com/is-ngrok.com-a-fake-site.html
对我来说最重要的是
https://developer.atlassian.com/blog/2015/05/secure-localhost-tunnels-with-ngrok/
Atlassian 人员强烈推荐它。
我想我会用它。
如果有人担心破坏他们的开发环境,您可以使用 Docker。有很多 ngrok/docker 项目,但这是我选择的一个:https://github.com/gtriggiano/ngrok-tunnel
对于 macOS,请使用“TARGET_HOST=docker.for.mac.localhost”
他们现在提供一项服务,您只需在本地运行 ssh,无需在您的计算机上运行他们的任何代码。
你运行类似
ssh -R 80:localhost:8501 tunnel.us.ngrok.com http这对我来说似乎很安全,唯一的事情是你不知道他们收集什么信息以及谁在连接到你公开的服务。他们打印所有连接,但这是他们的二进制文件执行此操作,并且有人很可能在您不注意的情况下监听。您可以检查您端的连接,但您无法确定是谁连接的。