Publié le 05/29/2017, rédigé par
Davy CLAISSE
Yarn
Désactiver le mode 'SSL Strict' et passer les proxys déchiffrant le trafic
Rappel : l'article expliquant en quoi consiste une attaque du type MITM est disponible ici.
Éléments du problème :
- Vous êtes en entreprise et souhaitez utiliser Yarn pour gérer votre build JS.
- Votre entreprise ne propose pas de Nexus / Arfifactory en interne pour vous permettre de récupérer les dépendances.
- Pour accéder à internet, votre installation de Yarn doit impérativement passer par le proxy de l'entreprise.
- Or votre entreprise déchiffre tout le trafic SSL qui passe par le proxy pour se protéger elle (entendons-nous).
- Évidemment, Yarn détecte un problème de certificat SSL (ie. une attaque du type MITM) et refuse de récupérer les dépendances au cas où celles-ci seraient compromises.
Solution :
Dire à Yarn d'ignorer le MITM du proxy et télécharger les dépendances.
ATENTION : cela va mécaniquement
Pour désactiver la sécurité :
yarn config set "strict-ssl" false
Pour réactiver la sécurité :
yarn config set "strict-ssl" true