|
Publié le par Davy CLAISSE

Yarn

Désactiver le mode 'SSL Strict' et passer les proxys déchiffrant le trafic

Rappel : l'article expliquant en quoi consiste une attaque du type MITM est disponible ici.

Éléments du problème :

  • Vous êtes en entreprise et souhaitez utiliser Yarn pour gérer votre build JS.
  • Votre entreprise ne propose pas de Nexus / Arfifactory en interne pour vous permettre de récupérer les dépendances.
  • Pour accéder à internet, votre installation de Yarn doit impérativement passer par le proxy de l'entreprise.
  • Or votre entreprise déchiffre tout le trafic SSL qui passe par le proxy pour se protéger elle (entendons-nous).
  • Évidemment, Yarn détecte un problème de certificat SSL (ie. une attaque du type MITM) et refuse de récupérer les dépendances au cas où celles-ci seraient compromises.

Solution :

Dire à Yarn d'ignorer le MITM du proxy et télécharger les dépendances.

ATENTION : cela va mécaniquement redescendre le niveau de sécurité de Yarn à ZÉRO mais au moins vous pourrez travailler.

Pour désactiver la sécurité :
yarn config set "strict-ssl" false
Pour réactiver la sécurité :
yarn config set "strict-ssl" true