Ohne den Artikel gelesen zu haben: Mal wieder AWS?

Question

AWS und ungesichertes Bucket oder DB Credentials hard-gecoded in der App?

Dreiundachzig · Answer

Naja, AWS kann nichts dafür. Die Entwickler der App müssen gefeuert werden. Zugangsdaten gehören nicht in den Quellcode. Und den Inhalt nicht zu verschlüsseln ist auch fahrlässig.

Anonymouse · Answer

Lies den Artikel doch einfach.

AntonZietz · Answer

Lol, DB Credentials (token) hard-gecoded in der App!

100 Gummipunkte für mich... Immer die gleichen Fehler, immer wieder.

AllDayPiano · Answer

Ich denke, dass sich kaum einer dafür bewusst entscheidet. Eher, dass man aus Faulheit beim Debugging die Credentials hart reinkloppt, und hinterher auf Grund der Code-Komplexität gar nicht mehr weiß, wo überall das Zeug drinnen steht.

Ich mache es ja auch nicht anders und hacke die SAP Zugangsdaten in den Quelltext rein. Einfach, weil die Loginverwaltung im compilierten Zustand vom aufrufenden Prozess verwaltet wird, und ich in der IDE sonst bei jedem Lauf die Daten eintippen müsste.

Aber da verwenden wird das nur Betriebsintern. Im schlimmsten Fall schmeißt es nach ein paar Wochen Fehler, weil die Zugangsdaten geändert wurden, und der Code läuft nicht mehr. 

Im Nachgang bin ich dann selbst überrascht, wo überall im Quelltext die Credentials drinnen stehen.

Und man muss auch dazu sagen, dass der SAP-Benutzer, der im Code ist, fast ausschließlich Leserechte hat und keinerlei Zugriff auf sensible Daten hat.

Alles, was oben steht, ist eine Meinung. Meine Meinung. Wenn ich eine absolute Aussage treffe, dann ist das ebenfalls eine Meinung. Meine Meinung. Wenn ich etwas mit Quellen belege, ist es entsprechend gekennzeichnet und damit keine Meinung, sondern eine Schlussfolgerung oder Tatsachendarstellung. Gut, dass wir das jetzt abschließend geklärt haben. Springen wird Golem.de trotzdem weiterhin.

1 mal bearbeitet, zuletzt am 13.12.21 21:05 durch AllDayPiano.

1 mal bearbeitet, zuletzt am 13.12.21 21:05 durch AllDayPiano.

Kein Kostverächter · Answer

Trotzdem, klug ist das nicht. Credentials (selbst scheinbar wertlose) gehören einfach niemals in den Quellcode. Man kann die Debug-Version seiner Anwendung so bauen, dass sie auch Credentials als Kommandozeilenparameter annehmen kann oder nutzt eins diverser Automatisierungstools.
Alles, was im Kompilat landet hat als öffentliche Information zu gelten.

Bis die Tage,

KK

----------------------------------------------------------
Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken. 
(Epikur, griech. Phil., 341-270 v.Chr.)
----------------------------------------------------------
We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

Xennor · Answer

Dreiundachzig schrieb:
--------------------------------------------------------------------------------
> Naja, AWS kann nichts dafür. Die Entwickler der App müssen gefeuert werden.> Zugangsdaten gehören nicht in den Quellcode. Und den Inhalt nicht zu> verschlüsseln ist auch fahrlässig.

Das "lustige" ist, dass es eine externe Agentur war die das verbrochen hat.
Man müsste mal die anderen Apps (aus den Referenzen) checken ob die dort genau so doof waren.

https://www.bitsfabrik.com/ (aus dem Impressum https://www.zapptales.com/de/impressum/)