1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Elasticsearch: Datenleak bei Conrad

Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: hansenhawk 19.11.19 - 16:47

    ...das macht letztendlich wenig Sinn, das System ist für Volltextsuche da, und hat somit keine Berechtigung für Kundendaten in denen Produktivsysteme wie der Shop ja gar nicht suchen müssen.
    Spricht jetzt nicht unbedingt dafür das sich jemand Gedanken gemacht hätte was wohin gehört...

  2. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: garthako 19.11.19 - 16:52

    Oh bitte. Wenn sich die Leute Gedanken machen würden, dann hätten wir einen Haufen „serverless microservices“ weniger auf der Welt. Da hat jemand gedacht „elasticsearch, geil, hab ich doch gestern erst in der BILD gelesen“. Am Besten dann noch per Docker, weil die Einrichtung / Konfiguration dann doch zu kompliziert war.



    1 mal bearbeitet, zuletzt am 19.11.19 16:53 durch garthako.

  3. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: eisbart 19.11.19 - 17:50

    "Warum eine 2. Datenbank aufsetzen, wenn wir eh schon eine haben".

    Viele Entwickler können lustigerweise Sql recht schlecht und können nicht mit gängigen ORMs wie Hibernate/Entity Framwork umgehen. Wenn man dann n+1 nicht richtig optimiert ist ElasticSearch oft viel besser von der Performanc her.

    Abgesehen davon sind gängige Sql DBs wie Postgres schwierig ordentlich in Docker aufzusetzen. Nicht nur die Dokumentation ist für einfaches Replizieren einfach Mist, sondern auch die bestehenden Images sind relativ schwer anzupassen. Dann auch noch so zu konfigurieren, dass deine Applikation nur auf den Master schreibt und Replikas nur lesen ist auch nicht einfach, da gibt es diverse Möglichkeiten wegen Raceconditions.

    Ich nehme an das Problem ist eher das Elastic Docker Image, welches standardmäßig kein Passwort benötigt und dann nicht richtig im Netzwerk konfiguriert wird, dass da keiner von außen drauf zu greifen kann.



    1 mal bearbeitet, zuletzt am 19.11.19 17:50 durch eisbart.

  4. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: flow77 19.11.19 - 23:44

    eisbart schrieb:
    --------------------------------------------------------------------------------
    > "Warum eine 2. Datenbank aufsetzen, wenn wir eh schon eine haben".
    >
    > Viele Entwickler können lustigerweise Sql recht schlecht und können nicht
    > mit gängigen ORMs wie Hibernate/Entity Framwork umgehen. Wenn man dann n+1
    > nicht richtig optimiert ist ElasticSearch oft viel besser von der
    > Performanc her.
    >
    > Abgesehen davon sind gängige Sql DBs wie Postgres schwierig ordentlich in
    > Docker aufzusetzen. Nicht nur die Dokumentation ist für einfaches
    > Replizieren einfach Mist, sondern auch die bestehenden Images sind relativ
    > schwer anzupassen. Dann auch noch so zu konfigurieren, dass deine
    > Applikation nur auf den Master schreibt und Replikas nur lesen ist auch
    > nicht einfach, da gibt es diverse Möglichkeiten wegen Raceconditions.
    >
    > Ich nehme an das Problem ist eher das Elastic Docker Image, welches
    > standardmäßig kein Passwort benötigt und dann nicht richtig im Netzwerk
    > konfiguriert wird, dass da keiner von außen drauf zu greifen kann.

    Du schreibst hier nur von Docker, ist das mittlerweile die einzige Möglichkeit um so etwas wie einen sql-server zu installieren?

    Und selbst wenn eine Firma wie Conrad Docker verwendet, die werden wohl nocht mindestens Ansible oder dergleichen einsetzen, insofern verstehe ich die Problematik nicht. In Kubernetes ist Docker auch nur ein Pfurz von der kompletten Architektur und komplett austauschbar gegen andere Lösungen.

    Und, btw. außer postgres gibts ja auch noch so praktische Dinge wie galera, wo du ohne Probleme eine multi-master Umgebung hast.
    Zudem, Elasticsearch hat einen ganz anderen Einsatzzweck als eine reine sql wie postgres oder mysql - da kannst du noch so gut deine Frameworks einsetzen und Entities definieren, du wirst irgendwann, vor allem im Shop-Bereich an Grenzen stoßen.

  5. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: Muc82 20.11.19 - 00:23

    Wieso rätselhaft? Das ist genau einer der Top Use-Cases für elastic. Schonmal versucht, eine gute Kundensuche (z.B. für call center Mitarbeiter) in eine relationalen Datenbank zu implementieren?

    Meine Erfahrungen damit sind ziemlich miserabel, zugegeben aber auch nur mit Oracle (Text),aber ich bezweifle dass freie Datenbanken da bessere Lösungen als elastic (oder Solr, also Lucene basiert) bieten.

    Wir nutzen elastic genau dafür, damit klappt auch eine Fuzzy Suche (Name falsch geschrieben), Suche nach beliebigen indizierten Feldern usw. Dafür replizieren wir Stammdaten aus einer relationalen DB - dafür braucht man jedoch keine IBANs...

    Zudem war in der Vergangenheit das security X-Pack kostenpflichtig (wir nutzen es) , somit ist die freie Variante per default offen und man muss sich selbst um den Schutz kümmern (reverse proxy davor o.Ä.), wenn man dort schlampt ist das grob fahrlässig.

  6. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: eisbart 20.11.19 - 05:07

    Ja, Docker und/k8s ist das top Tool was heutzutage in Firmen verwendet wird um zu deployen. Grund dafür sind meistens hosting Angebote, die dir als Entwickler im Prinzip die Möglichkeit rauben, Server aufzusetzen.

    Wir dürfen zB hat nichts auf den Servern installieren sonst ist der support weg, den der Kunde beim Anbieter gekauft hat. Deswegen wird alles mit Docker deployed.

    PostgreSQL hat übrigens eine eingebaute Volltext suche, die auch mit typos umgehen und beliebige Felder indizieren kann (tsvector) und im absoluten Notfall kann man immer noch von der SQL DB nach Elastic indizieren. Den riesig großen Anwendungsfall für nosql gibt es meist nicht, weil das die relationale DB auch kann (json, tsvector und GIS kann fast jede geläufige DB). Oracle ist natürlich ein eigenes Problem, das man als Entwickler manchmal nicht umgehen kann, aber statt nosql kann man ja auch eine zweite PostgreSQL/MySQL DB verwenden.

    Für viele Entwickler ist es halt einfacher und hipper kein SQL zu verwenden, weil es halt auch wirklich kompliziert werden kann. Und dann setzt man halt auch nicht ne separate SQL DB auf, nur um ein zusätzliches IBAN Feld zu speichern.

    Versuch mal deinem Kunden zu erklären, dass er 2 Entwickler für 1-2 Monate zahlen muss nur um ein Feld hinzu zu fügen. Du musst das Ding ja auch skalierbar und wartbar machen, Anwendungen anpassen und Daten migrieren und das dauert eben.



    6 mal bearbeitet, zuletzt am 20.11.19 05:23 durch eisbart.

  7. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: maci23 20.11.19 - 07:13

    eisbart schrieb:
    --------------------------------------------------------------------------------
    >
    > Versuch mal deinem Kunden zu erklären, dass er 2 Entwickler für 1-2 Monate
    > zahlen muss nur um ein Feld hinzu zu fügen. Du musst das Ding ja auch
    > skalierbar und wartbar machen, Anwendungen anpassen und Daten migrieren und
    > das dauert eben.

    Vollkommen richtig. Die Auftraggeber, sprich Fimenchefs habe keine Ahnung, was alles gemacht werden muss. Sie müssen Kosten sparen wo es geht, den der Vorstand setzt das voraus.
    Vielfach werden Sicherheitsbedenken, die ein Programmierer äußert lapidar mit dem Satz abgetan, "Wer soll uns den angreifen, wir sind doch nicht interessant".
    Das kommt daher dass viele Vorstände und Chefs noch im Schema aus der Vergangenheit verharren, dass nur Geheimdienste usw angegriffen werden.
    Doch dabei ist es heute viel interessanter Kundendaten aus Firmen abzureißen und zu verkaufen. Das ist lukrativ. Geheimdienstdaten jucken die Allgemeinheit nicht.

  8. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: holminger 20.11.19 - 09:54

    Oder die Daten verschlüsseln. Wenn der Angegriffene kein aktuelles Backup hat, um so besser für den Angreifer. Der Betrieb der Bude ist erstmal lahmgelegt, im zweiten Fall eben etwas länger.
    Insofern ist auch bei der kleinsten Butze was zu holen, die meint keine wichtigen Daten zu haben.

  9. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: flow77 20.11.19 - 10:12

    eisbart schrieb:
    --------------------------------------------------------------------------------
    > Ja, Docker und/k8s ist das top Tool was heutzutage in Firmen verwendet wird
    > um zu deployen. Grund dafür sind meistens hosting Angebote, die dir als
    > Entwickler im Prinzip die Möglichkeit rauben, Server aufzusetzen.
    >
    > Wir dürfen zB hat nichts auf den Servern installieren sonst ist der support
    > weg, den der Kunde beim Anbieter gekauft hat. Deswegen wird alles mit
    > Docker deployed.

    Bei euch ist das so, bei uns nicht. Ob es bei allen so ist wie bei euch?

    > PostgreSQL hat übrigens eine eingebaute Volltext suche, die auch mit typos
    > umgehen und beliebige Felder indizieren kann (tsvector) und im absoluten
    > Notfall kann man immer noch von der SQL DB nach Elastic indizieren. Den
    > riesig großen Anwendungsfall für nosql gibt es meist nicht, weil das die
    > relationale DB auch kann (json, tsvector und GIS kann fast jede geläufige
    > DB). Oracle ist natürlich ein eigenes Problem, das man als Entwickler
    > manchmal nicht umgehen kann, aber statt nosql kann man ja auch eine zweite
    > PostgreSQL/MySQL DB verwenden.

    Ja, postgres kann prinzipiell vieles was elasticsearch kann. Es gibt hier trotzdem signifikante Unterschiede. Natürlich nur wenn man sich damit auch wirklich beschäftigt hat uns das notwendige Wissen besitzt.

    > Für viele Entwickler ist es halt einfacher und hipper kein SQL zu
    > verwenden, weil es halt auch wirklich kompliziert werden kann. Und dann
    > setzt man halt auch nicht ne separate SQL DB auf, nur um ein zusätzliches
    > IBAN Feld zu speichern.

    Dafür gibt es doch so Dinge wie ORM, dachte ich jedenfalls.

    > Versuch mal deinem Kunden zu erklären, dass er 2 Entwickler für 1-2 Monate
    > zahlen muss nur um ein Feld hinzu zu fügen. Du musst das Ding ja auch
    > skalierbar und wartbar machen, Anwendungen anpassen und Daten migrieren und
    > das dauert eben.

    Klingt nach einem ganz miesen Software-Design.

    Dein Beitrag und die Beispiele klingen aus der Hölle der IT.

  10. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: ImBackAlive 20.11.19 - 11:11

    flow77 schrieb:
    --------------------------------------------------------------------------------
    > Du schreibst hier nur von Docker, ist das mittlerweile die einzige
    > Möglichkeit um so etwas wie einen sql-server zu installieren?

    Es ist nicht nur nicht die einzige Möglichkeit, derartige, persistente Datenbanken widersprechen schlicht und ergreifend dem Grundprinzip hinter Docker. Keine Ahnung warum man das auf Teufel komm raus da rein quetschen muss.

  11. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: Iruwen 20.11.19 - 13:36

    flow77 schrieb:
    --------------------------------------------------------------------------------
    > Klingt nach einem ganz miesen Software-Design.

    Wurde nach Anforderung umgesetzt.

  12. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: garthako 20.11.19 - 15:45

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > flow77 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Klingt nach einem ganz miesen Software-Design.
    >
    > Wurde nach Anforderung umgesetzt.

    Mag sein, aber der Architekt hat aus den Anforderungen halt ein sauberes Sytem zu designen. Bei 1-2 Monaten Arbeit, um ein Feld zu einer Tabelle hinzuzufügen, hat er da wohl keinen ordentlichen Job gemacht

  13. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: flow77 20.11.19 - 16:22

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > flow77 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Klingt nach einem ganz miesen Software-Design.
    >
    > Wurde nach Anforderung umgesetzt.

    Und man tut dies als Entwickler dann einfach so, obwohl man weiß dass es mies ist, was man macht, so nach dem Motto "für Geld tue ich alles"?

  14. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: Hawk321 20.11.19 - 17:21

    eisbart schrieb:
    --------------------------------------------------------------------------------
    > "Warum eine 2. Datenbank aufsetzen, wenn wir eh schon eine haben".
    >
    > Viele Entwickler können lustigerweise Sql recht schlecht und können nicht
    > mit gängigen ORMs wie Hibernate/Entity Framwork umgehen. Wenn man dann n+1
    > nicht richtig optimiert ist ElasticSearch oft viel besser von der
    > Performanc her.
    >
    > Abgesehen davon sind gängige Sql DBs wie Postgres schwierig ordentlich in
    > Docker aufzusetzen. Nicht nur die Dokumentation ist für einfaches
    > Replizieren einfach Mist, sondern auch die bestehenden Images sind relativ
    > schwer anzupassen. Dann auch noch so zu konfigurieren, dass deine
    > Applikation nur auf den Master schreibt und Replikas nur lesen ist auch
    > nicht einfach, da gibt es diverse Möglichkeiten wegen Raceconditions.
    >
    > Ich nehme an das Problem ist eher das Elastic Docker Image, welches
    > standardmäßig kein Passwort benötigt und dann nicht richtig im Netzwerk
    > konfiguriert wird, dass da keiner von außen drauf zu greifen kann.

    Server bzw. Serverdienste sollten die Entwickler die Finger von lassen...das ist Admin Kram !
    Ich weiß echt nicht was in deren Köpfen vorgeht...wenn man was nicht kann, dann holt man Hilfe --> den Admin, das ist seine Aufgabe.

    Und deine Beobachtung, das Entwickler häufig schlecht SQL können...ja, das hab ich auch bemerkt. ER-Diagramm ? Was soll das sein...

    Einer meinte vor kurzen, er loggt sich mit Heidi ein und editiert Werte per Hand direkt. SQL Befehle wären zu kompliziert für den...angeblich ein "Akademiker" (vielleicht auch nur auf dem Acker gelernt).

  15. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: Iruwen 20.11.19 - 21:34

    flow77 schrieb:
    --------------------------------------------------------------------------------
    > Iruwen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > flow77 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Klingt nach einem ganz miesen Software-Design.
    > >
    > > Wurde nach Anforderung umgesetzt.
    >
    > Und man tut dies als Entwickler dann einfach so, obwohl man weiß dass es
    > mies ist, was man macht, so nach dem Motto "für Geld tue ich alles"?

    Man würde es als Entwickler schon gerne ordentlich machen, das möchte der Kunde aber nicht. Trifft vermutlich auf Conrad nicht zu, aber bei öffentlichen Aufträgen ist das gängig.

  16. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: elgooG 21.11.19 - 10:57

    Docker wäre völlig sinnlos, wenn gar nichts persistent gemacht werden könnte. Aber genau deshalb gibt es ja die Volumes.

    Mit Docker kann ich mehrere Server gleichzeitig mit der selben Version der Software ausrüsten und die Sideffects von anderer installierter Fremdsoftware minimieren. Es ist schon mehr als einmal vorgekommen, dass andere Hersteller und gelangweilte Admins Frameworks geändert/deinstalliert haben und unsere Software damit zerschossen. Der Support-Aufwand ist dafür extrem groß, weil nicht immer klar ist warum plötzlich Probleme auftreten und niemand etwas geändert haben will.

    Datenbanken wo eine VM/ein Container schon fast überlebensnotwendig ist, sind Oracles DB und ganz besonders MSSQL. Letzteres installiert so viel Bloadware die später übrig bleibt oder neue Versionen von Frameworks durch alte ersetzt, dass Probleme bereits vorprogrammiert sind und nur durch eine Neuinstalltion des Server bereinigt werden könnten.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  17. Re: Wozu jemand Kundendaten in eine Elastic pumpt ist mir rätselhaft...

    Autor: Iruwen 21.11.19 - 12:07

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Es ist schon mehr als einmal vorgekommen, dass
    > andere Hersteller und gelangweilte Admins Frameworks geändert/deinstalliert
    > haben und unsere Software damit zerschossen.

    Einer unserer Dienstleister hat vor nicht allzu langer Zeit aufgrund seines fragwürdigen Systemwartungskonzepts (das autoremove beinhaltete) libzip und imagemagick entfernt und damit unser PHP gekillt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Sulz am Neckar
  2. PROSIS GmbH, verschiedene Standorte
  3. ViGEM GmbH, Karlsruhe
  4. Bauhaus Luftfahrt e.V., Taufkirchen bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (heute Logitech G635 Lyghtsync Gaming Headset für 75,00€ statt 132,99€ im Vergleich)
  2. (aktuell u. a. Asus XG248Q LED-Monitor 389,00€ (Bestpreis!), Emtec SSD 120 GB 15,79€, Xiaomi...
  3. (u.a. Samsung Galaxy Tab A für 195,00€, Huawei MediaPad M5 Lite für 189,00€, Lenovo Tab E10...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Ãœberwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

  1. Drucker: Xerox verhandelt Übernahme mit HP-Inc.-Aktionären
    Drucker
    Xerox verhandelt Übernahme mit HP-Inc.-Aktionären

    Xerox redet offiziell mit HP-Investoren über die geplante Übernahme des Herstellers. Laut einer Präsentation, die von HP veröffentlicht wurde, sollen Cross-Selling und eine einheitliche Plattform für Kunden ein geschätztes Umsatzwachstum von 1 bis 1,5 Milliarden US-Dollar erbringen.

  2. VPN-Technik: Wireguard in Linux-Kernel eingepflegt
    VPN-Technik
    Wireguard in Linux-Kernel eingepflegt

    Nach der Aufnahme des angepassten Krypto-Codes ist auch die VPN-Technik Wireguard in einen wichtigen Entwicklungszweig des Linux-Kernels eingepflegt worden. Wireguard erscheint damit im kommenden Frühjahr wohl erstmals mit Linux 5.6.

  3. Exit Scam: Mehrere preiswerte Webhoster schließen gleichzeitig
    Exit Scam
    Mehrere preiswerte Webhoster schließen gleichzeitig

    Einige Anbieter von VPS (Virtual Private Server) und anderen Webhosting-Angeboten haben abrupt ihr Angebot geschlossen. Nutzer hatten nur zwei Tage für eine Datensicherung. Verdächtig: Die Benachrichtigung ist bei allen Hostern identisch - Nutzer fürchten einen Exit Scam.


  1. 16:32

  2. 16:26

  3. 15:59

  4. 15:29

  5. 14:27

  6. 13:56

  7. 13:33

  8. 12:32