gist.github.com
Да, очень поздно они закрыли публичный доступ к _users, хотя не понятно, чем занимались админы npm т.к. поведение известное уже много релизов как и первый же security audit выявил бы эту проблему. Anyway, хорошо что исправились и дали проблеме огласку — в 1.2.0 проблему закрыли из коробки, правда релиз пока задерживается из-за двух багов, один из которых сулит хорошую прибавку к скорости индексации. Тем временем, чтобы не проверять свои сервера ручками, уже есть две тулзы для автоматизации процесса:
1. nodejs: github.com
2. python: code.google.com
Обе помогут провести анализа всего сервера или конкретной базы, определить что находится в паблике, а куда вход разрешен только специальным пользователям, сколько админов на сервере и не много ли их и т.п.
Такие дела. Берегите данные своих пользователей(:
#1649080 на python. К сожалению, nodejs везде не стоит, а тузла полезная и нужная, хоть и не часто(:
code.google.com
Может кому еще пригодится.
Портировал audit_couchdb из code.google.com
Может кому еще пригодится.
apacheserver.net
конечно, она не актуальна если у вас веб-интерфейс не смотрит наружу и вы пользуетесь нормальным тулкитом для работы с couchdb, но факт есть факт.