Hacker News 의견

• Next의 미들웨어 시스템은 문제가 많으며, 처음부터 다시 구현하는 것이 좋을 것 같음

  • 여러 미들웨어를 체인으로 연결하는 공식적인 방법이 없음
  • 주요 함수들이 정적 멤버로 되어 있어, 서드파티 미들웨어 사용 시 문제가 발생할 수 있음
  • 미들웨어와 라우트 핸들러 간의 통신 방법이 부족함
  • 헤더를 통해 데이터를 전달하는 방법은 안전하지 않음
  • 자동 캐싱을 포기해야 하는 문제도 있음
  • 요청의 실제 호스트명을 얻기 어려움

• 미들웨어 시스템의 보안 문제에 대한 다른 기사 발견

  • 헤더를 통한 통신 방식이 사용자 입력 검증과 분리되어 있음
  • 사용자로부터의 모든 헤더를 허용하는 것은 위험할 수 있음
  • 서버 디자인의 문제를 해결하기 위한 프레임워크의 지원이 필요함

• Next.js의 보안 취약점에 대한 정보

  • 특정 헤더를 추가하면 서버가 잘못된 응답을 할 수 있는 취약점이 있었음
  • 이 취약점에 대한 CVE가 없으며, 어떤 버전이 영향을 받는지 명확하지 않음
  • Next.js의 지원 정책에 따라 특정 버전만 패치가 제공됨

• Next.js의 보안 문제 해결 지연에 대한 우려

  • 보고 후 2주 이상이 지나서야 문제 해결이 시작됨
  • 문제의 심각성이 제대로 전달되지 않았을 가능성 있음

• Next.js의 복잡성에 대한 비판

  • React는 많은 가치를 제공했지만, Next는 복잡성을 더할 뿐임
  • 파일 기반 라우팅과 서버 사이드 렌더링은 특정 상황에서만 유용함

• 보안 취약점의 간단한 실행 가능성

  • 특정 헤더를 추가하면 인증을 우회할 수 있는 문제

• Next.js의 내부 헤더 사용 문제

  • 재귀 요청을 방지하기 위한 내부 헤더가 있음
  • 이 헤더를 통해 중요한 검증을 우회할 수 있는 가능성 있음

• Next.js의 자가 호스팅 선택에 대한 불안감

  • HN의 댓글을 읽을수록 선택에 대한 불안감이 커짐

• 보안 문제 해결 지연에 대한 우려

  • 13일 동안 문제 해결이 지연된 것은 큰 문제임