1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Datenleck: 21 Terabyte privater…

Ohne den Artikel gelesen zu haben: Mal wieder AWS?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: AntonZietz 13.12.21 - 15:53

    AWS und ungesichertes Bucket oder DB Credentials hard-gecoded in der App?

  2. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Dreiundachzig 13.12.21 - 15:57

    Naja, AWS kann nichts dafür. Die Entwickler der App müssen gefeuert werden. Zugangsdaten gehören nicht in den Quellcode. Und den Inhalt nicht zu verschlüsseln ist auch fahrlässig.

  3. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Anonymouse 13.12.21 - 15:58

    Lies den Artikel doch einfach.

  4. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: AntonZietz 13.12.21 - 17:03

    Lol, DB Credentials (token) hard-gecoded in der App!

    100 Gummipunkte für mich... Immer die gleichen Fehler, immer wieder.

  5. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: AllDayPiano 13.12.21 - 21:03

    Ich denke, dass sich kaum einer dafür bewusst entscheidet. Eher, dass man aus Faulheit beim Debugging die Credentials hart reinkloppt, und hinterher auf Grund der Code-Komplexität gar nicht mehr weiß, wo überall das Zeug drinnen steht.

    Ich mache es ja auch nicht anders und hacke die SAP Zugangsdaten in den Quelltext rein. Einfach, weil die Loginverwaltung im compilierten Zustand vom aufrufenden Prozess verwaltet wird, und ich in der IDE sonst bei jedem Lauf die Daten eintippen müsste.

    Aber da verwenden wird das nur Betriebsintern. Im schlimmsten Fall schmeißt es nach ein paar Wochen Fehler, weil die Zugangsdaten geändert wurden, und der Code läuft nicht mehr.

    Im Nachgang bin ich dann selbst überrascht, wo überall im Quelltext die Credentials drinnen stehen.

    Und man muss auch dazu sagen, dass der SAP-Benutzer, der im Code ist, fast ausschließlich Leserechte hat und keinerlei Zugriff auf sensible Daten hat.

    Alles, was oben steht, ist eine Meinung. Meine Meinung. Wenn ich eine absolute Aussage treffe, dann ist das ebenfalls eine Meinung. Meine Meinung. Wenn ich etwas mit Quellen belege, ist es entsprechend gekennzeichnet und damit keine Meinung, sondern eine Schlussfolgerung oder Tatsachendarstellung. Gut, dass wir das jetzt abschließend geklärt haben. Springen wird Golem.de trotzdem weiterhin.



    1 mal bearbeitet, zuletzt am 13.12.21 21:05 durch AllDayPiano.

  6. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Kein Kostverächter 14.12.21 - 09:05

    Trotzdem, klug ist das nicht. Credentials (selbst scheinbar wertlose) gehören einfach niemals in den Quellcode. Man kann die Debug-Version seiner Anwendung so bauen, dass sie auch Credentials als Kommandozeilenparameter annehmen kann oder nutzt eins diverser Automatisierungstools.
    Alles, was im Kompilat landet hat als öffentliche Information zu gelten.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  7. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Xennor 14.12.21 - 09:14

    Dreiundachzig schrieb:
    --------------------------------------------------------------------------------
    > Naja, AWS kann nichts dafür. Die Entwickler der App müssen gefeuert werden.
    > Zugangsdaten gehören nicht in den Quellcode. Und den Inhalt nicht zu
    > verschlüsseln ist auch fahrlässig.

    Das "lustige" ist, dass es eine externe Agentur war die das verbrochen hat.
    Man müsste mal die anderen Apps (aus den Referenzen) checken ob die dort genau so doof waren.

    https://www.bitsfabrik.com/ (aus dem Impressum https://www.zapptales.com/de/impressum/)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stammdatenkoordinator SAP PM (w/m/d)
    Sindra Logistik & Services GmbH & Co. KG, Übach-Palenberg
  2. IT-Projektkoordinator / Administrator (w/m/d) für SharePoint 2019
    Universitätsklinikum Hamburg-Eppendorf, Hamburg-Eppendorf
  3. Java Developer / Java Entwickler (m/w/d)
    GK Software SE, verschiedene Standorte deutschlandweit, Johannsburg (Südafrika), Pilsen (Tschechische Republik)
  4. Head of Engineering (m/w/d)
    Hays AG, Niedersachsen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 83€ statt 99,99€
  2. 499,99€
  3. 79€ statt 99,99€
  4. (u. a. Horizon Zero Dawn - Complete Edition für 14,49€, The Walking Dead - The Telltale...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bundeswehr: Das Heer will sich nicht abhören lassen
Bundeswehr
Das Heer will sich nicht abhören lassen

Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
Ein Bericht von Matthias Monroy

  1. Bundes-Klimaschutzgesetz Die Bundeswehr wird grüner
  2. 600 Millionen Euro Bundeswehr lässt Funkgeräte von 1982 nachbauen

US-Militär: Kernkraft im Weltall von Vernunft bis möglichem Betrug
US-Militär
Kernkraft im Weltall von Vernunft bis möglichem Betrug

Zwei Techniken sollen 2027 mit Satelliten fliegen, ein Fusionsreaktor und eine Radioisotopenbatterie. Nur eine davon ist glaubwürdig.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Raketenabgase können die Atmosphäre schädigen
  2. Raumfahrt Raketenstufe mit Helikopter gefangen und wieder verloren
  3. Raumfahrt Rocketlab will eine Rakete per Helikopter auffangen

Bastel-Rechner: Mit dem Raspberry Pi auf einem Bildschirm zeichnen
Bastel-Rechner
Mit dem Raspberry Pi auf einem Bildschirm zeichnen

Wir zeigen, wie auf einem 10,6-Zoll-Farbdisplay, angeschlossen an der GPIO-Leiste eines Raspberry Pi, gezeichnet werden kann. Programmiert wird in C#.
Eine Anleitung von Michael Bröde

  1. Khadas VIM4 Kleiner Bastelrechner integriert HDMI 2.1 und M.2-Slot
  2. Bastelrechner Raspberry Pi OS verwirft den Standarduser pi
  3. DIY Bastler quetscht Raspberry Pi in Kassette