Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Lösegeld: Uber verheimlicht Hack von…

Sourcecode gehört nicht in die Cloud

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Sourcecode gehört nicht in die Cloud

    Autor: ronlol 22.11.17 - 10:08

    Ich sags immer wieder, vor allem zu allen Hipster-Entwicklern, die glauben die Cloud würde sie cooler machen.

    Nochmal für alle die mit dem Mac im Starbucks hocken:
    a) Sourcecode gehört nicht in die Cloud, außer die "Cloud" steht irgendwo intern und man greift von außen einfach über einen VPN Tunnel drauf zu.
    b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud, sondern einfach auf dem Computer von jemand anderem.

    Wer von überall auf sein GIT zugreifen will, solle einfach bitte den GIT Server dort im Büro stehen lassen wo er nunmal steht und per VPN ins Netz rein gehen. Wem das zu kompliziert ist, der kann die Ports ja weiterleiten. Hier bitte vorsichtig sein und die Firewall des Systems im gleichen Zuge anpacken. Iptables ist dein Freund!

  2. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 10:24

    Sourcecode? Ich glaube es würde reichen zu sagen, dass Zugangsdaten nicht in die Cloud gehören. Oder besser noch: Zugangsdaten gehören nicht in den Code.

    Ich stelle mir gerade vor wie Entwickler, die gerne mal Zugangsdaten in die Cloud hochladen, nun ihre eigenen Codeverwaltungssystem, Firewalls, VPN und IPTables konfigurieren sollen...



    1 mal bearbeitet, zuletzt am 22.11.17 10:29 durch bolzen.

  3. Re: Sourcecode gehört nicht in die Cloud

    Autor: ronlol 22.11.17 - 10:31

    Soll es ja wohl geben. Gut ich hab auch schon Leute gesehen, die meinten sie wären ganz besonders sicher, weil sie alle Zugangsdaten zur DB in einer config Datei ablegen und nicht im Code. Doof wenn selbige auch im www root liegt.

  4. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 10:34

    Guter honey pot ;)

  5. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 11:32

    solange die zugriffsrechte darauf entsprechend eingeschränkt bleiben ist auch dieser ort genauso sicher wie an anderer stelle im verzeichnisbaum.



    1 mal bearbeitet, zuletzt am 22.11.17 11:32 durch ML82.

  6. Re: Sourcecode gehört nicht in die Cloud

    Autor: redmord 22.11.17 - 11:39

    Stimmt. Und dennoch ... es gibt gute Designprinzipien und es gibt nicht so gute. Was nicht bedeutet, dass die nicht so guten ihren Zwecke nicht erfüllen könnten.

    Ein gutes Bepsiel: im Webroot nur das liegen haben, was für den Webserver auch sichtbar sein soll.

    Ein nicht so gutes Beispiel: Alles im Webroot liegen haben und händisch owner, chmod und ACL regeln. Da kommt ganz sicher ein Kollege vorbei, der das Projekt nicht kennt und probiert mal: `chmod -R 777 *`. Oder beim Deployment wird von der Urlaubsvertretung vergessen, dass es ja noch dieses super wichtige Skript gab, welches die Rechte regelt... :)

  7. Korrektur: Closed-Source Sourcecode gehört nicht in die Cloud

    Autor: deutscher_michel 22.11.17 - 11:52

    Wobei das auch nur für Firmen zutrifft die ihrem Code nicht trauen und glauben es sei sicherer wenn lieber niemand nach Schwachstellen gucken kann - oder sie sich wegen der Qualität (zurecht) schämen).

    Code gehört veröffentlicht in der Cloud (oder sonstwo) - denn Sicherheit durch geheimhaltung des Codes kann man eh in der Pfeiffe rauchen.. :)

  8. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 13:25

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud,
    > sondern einfach auf dem Computer von jemand anderem.

    Was fürn kollosaler Schwachsinn.

  9. Re: Sourcecode gehört nicht in die Cloud

    Autor: Kein Kostverächter 22.11.17 - 13:31

    Genau das ist eine Cloud: Ein Konglomerat von Computern, die ueblicherweise jemand anderes gehoeren. Wo sollen die Daten denn sonst sein? In einer koerperlosen Elektronenwolke im Aether? Soweit sind wir noch nicht... ;-)
    Aber nur damit hat der OP recht. Source-Code kann ruhig oeffentlich sein. Zugangsdaten allerdings (und das war ja auch Ubers Problem) haben auf anderer Leutes Computern nun wirklich nichts zu suchen.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    Gesendet von meinem AppleTree iphone23 mit GoogleByte TalkAlways
    What the FUUK is going on?

  10. Re: Sourcecode gehört nicht in die Cloud

    Autor: DAUVersteher 22.11.17 - 13:40

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > Soll es ja wohl geben. Gut ich hab auch schon Leute gesehen, die meinten
    > sie wären ganz besonders sicher, weil sie alle Zugangsdaten zur DB in einer
    > config Datei ablegen und nicht im Code. Doof wenn selbige auch im www root
    > liegt.
    Die Zugangsdaten gehören nunmal irgendwo hin, wo der Webserver sie lesen kann. Dabei ist es egal ob sie im Code stehen oder in einer seperaten Konfig-Datei.
    Sie in eine .txt-Datei zu schreiben und den Code auszulesen ist natürlich selten dämlich aber im Normalfall stehen die Zugangsdaten in einer .php-Datei ohne Ausgabe. Da sind dann die Rechte auch komplett egal solange der Webserver .php-Dateien Parst. Wenn aber durch einen Konfigurationsfehler .php-Dateien nichtmehr geparst werden ist eh alles zu spät da egal wo die Zugangsdaten stehen dann alles sichtbar ist.

    Die Datei eine Ebene über dem www-root zu legen bringt ebenfalls nichts. Entweder der Webserver hat da schon keinen Zugriff mehr oder wenn er Zugriff hat, kommt man da auch als Benutzer dran.

  11. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 13:47

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Genau das ist eine Cloud: Ein Konglomerat von Computern, die ueblicherweise
    > jemand anderes gehoeren.

    Falsch.

    > Wo sollen die Daten denn sonst sein?

    Das ist extrem davon abhängig was für ein Modell man wählt - das kann Arbeitsspeicher sein, eine HDD, eine SSD, verteilt in P2P - Netzwerken und somit immer nur sehr kurzzeitig auf diversen Platten ... aber natürlich allesamt gesichert, streng kontrolliert und mit Zugangsbeschränkungen versehen

    >In einer
    > koerperlosen Elektronenwolke im Aether?

    Sozusagen - wenn man alle cloud Dienste zusammenfassen möchte so kann man sich das stark vereinfacht (und etwas kindlich) so vorstellen - mitunter weiss nichtmal der Anbieter wo die Daten denn jetzt EXAKT und physisch sind

    > Soweit sind wir noch nicht... ;-)

    So weit waren "wir" schon vor 10 Jahren, google mal "SaaS" und staune.



    1 mal bearbeitet, zuletzt am 22.11.17 13:49 durch tha_specializt.

  12. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 14:05

    man kann schon sehr einfach dazu gängeln, rechtevergaben im code prüfen und jede weitere funktion mit einer nicht sicheren konfiguration verhindern:

    if (fileperms ('config.php') != 644) die ('RTFM');



    1 mal bearbeitet, zuletzt am 22.11.17 14:14 durch ML82.

  13. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 14:10

    tha_specializt schrieb:
    --------------------------------------------------------------------------------
    > Kein Kostverächter schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Genau das ist eine Cloud: Ein Konglomerat von Computern, die
    > ueblicherweise
    > > jemand anderes gehoeren.
    >
    > Falsch.
    >
    > > Wo sollen die Daten denn sonst sein?
    >
    > Das ist extrem davon abhängig was für ein Modell man wählt - das kann
    > Arbeitsspeicher sein, eine HDD, eine SSD, verteilt in P2P - Netzwerken und
    > somit immer nur sehr kurzzeitig auf diversen Platten ... aber natürlich
    > allesamt gesichert, streng kontrolliert und mit Zugangsbeschränkungen
    > versehen
    >
    > >In einer
    > > koerperlosen Elektronenwolke im Aether?
    >
    > Sozusagen - wenn man alle cloud Dienste zusammenfassen möchte so kann man
    > sich das stark vereinfacht (und etwas kindlich) so vorstellen - mitunter
    > weiss nichtmal der Anbieter wo die Daten denn jetzt EXAKT und physisch
    > sind
    >
    > > Soweit sind wir noch nicht... ;-)
    >
    > So weit waren "wir" schon vor 10 Jahren, google mal "SaaS" und staune.

    Was fürn kollosaler Schwachsinn.

    Nur weil der Anbieter gerade nicht weiss wo die Daten dank der verteilten Raids nun sind, macht es das ganze noch lange nicht zu etwas Mystischem. SaaS... lol

  14. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 14:26

    bolzen schrieb:
    --------------------------------------------------------------------------------
    > die Daten dank der verteilten Raids

    Wie man sieht weisst du nichtmal was der Begriff "cloud" überhaupt bedeutet. Ich denke du solltest dich wieder deinem Youtube oder Facebook feed widmen.

  15. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 14:32

    Dateisystemrechte sind so ziemlich das Allerletzte Sicherheitsloch das zu schliessen wäre - viel wichtiger sind Sicherheitsmechanismen in den scripts selbst denn shell-Zugriff bekommt man üblicherweise erst NACHDEM die scripts schon missbraucht werden

  16. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 15:04

    sicher, es ging auch nur darum zu verhindern dass dahingehend schlampig konfigurierte installationen überhaupt genutzt werden können.

    dass man weitere maßnahmen dafür aufgeben soll hat doch hoffentlich keiner gedacht oder?

  17. Re: Sourcecode gehört nicht in die Cloud

    Autor: DAUVersteher 22.11.17 - 15:07

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > Ich sags immer wieder, vor allem zu allen Hipster-Entwicklern, die glauben
    > die Cloud würde sie cooler machen.
    Gerade für kleine Firmen ist die Cloud sehr sinnvoll.

    Wenn man sich selbst um Backups und flexiblilität kümmern muss, geht viel Entwicklungszeit verloren und man muss erstmal mehrere Server kaufen, diese einrichten, man braucht entweder eine dicke Internetleitung oder muss sich bei einem Colocationanbieter einmieten uvm. Daher bucht man lieber eine Cloud, läd da alles rein und der Anbieter kümmert sich dann um die Verfügbarkeit, Backup usw. Als Entwickler hat man dann deutlich mehr Zeit zu entwickeln. Sollte sich die eigene Idee dann als brauchbar herausstellen, kann man bei den Cloudanbietern recht einfach weitere Ressourcen mit wenigen Mausklicks hinzubuchen. Wenn die eigene Idee dann doch eine Totgeburt ist, kündigt man den Cloudanbietervertrag und das wars. Wenn man eigene Server gekauft hat, muss man diese entweder noch abbezahlen oder sie irgendwie verkaufen.
    > Nochmal für alle die mit dem Mac im Starbucks hocken:
    > a) Sourcecode gehört nicht in die Cloud, außer die "Cloud" steht irgendwo
    > intern und man greift von außen einfach über einen VPN Tunnel drauf zu.
    Dann muss man sich aber auch noch um Backups kümmern welche nicht am gleichen Ort sein sollten.
    > b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud,
    > sondern einfach auf dem Computer von jemand anderem.
    "Die Cloud" ist doch der "Computer von jemand anderem". Den Code beim Büronachbarn abzuspeichern ist nicht sonderlich sinnvoll. Wenn das Gebäude abbrennt, es zu einem Wasserschaden oder einfach "nur" einem Einbruch kommt, sind die Daten weg. Nicht jede IT-Klitsche kann sich mehrere Server an unterschiedlichen Orten leisten, da ist die Cloud nunmal billiger und "besser".
    > Wer von überall auf sein GIT zugreifen will, solle einfach bitte den GIT
    > Server dort im Büro stehen lassen wo er nunmal steht und per VPN ins Netz
    > rein gehen. Wem das zu kompliziert ist, der kann die Ports ja weiterleiten.
    > Hier bitte vorsichtig sein und die Firewall des Systems im gleichen Zuge
    > anpacken. Iptables ist dein Freund!
    Das ist ja locker schon eine ganze Stelle, die man entweder einstellen muss oder man selbst kommt nichtmehr dazu, zu programmieren. Sowohl GIT als auch das VPN und Iptables-Zeugs will auf dem neusten Stand gehalten werden. Vor einem Update sollte man zudem alles in einer Testumgebung probieren damit nicht plötzlich keiner mehr aufs GIT kommt.


    Natürlich könnte sich Uber inzwischen locker eigene Leute dafür leisten aber wenn es schonmal in der Cloud läuft, lässt man es gerne dort. Sollten die Buchungen nun plötzlich stark ansteigen, weshalb auch immer, dauerts nunmal, bis man neue Server bestellt hat, diese eingerichtet hat, ggf. Platz für neue Server freigeräumt hat usw. Über die Cloud klickt man einfach Abends auf dem Sofa im Webinterface des Anbieters auf den Pleil nach oben und schon wird die Lastspitze abgefangen. Zudem ziehen solche Startups am Anfang gerne des öfteren um. Mit einer eigenen Inhouse-Serverfarm ist ein Umzug um ein vielfaches komplizierter/teurer als mit der Cloud.

  18. Re: Sourcecode gehört nicht in die Cloud

    Autor: DAUVersteher 22.11.17 - 15:19

    Mit zu strickten Prüfungen kann man sich oft mehr Probleme einhandeln als welche zu lösen. Nur die config.php zu prüfen mag noch übersichtlich sein, ist aber halt quasi zwecklos. Wenn jemand Zugriff aufs Dateisystem hat, kann er die Datei auch mit 644 noch lesen.
    Die Zeit die man in Zugriffsberechtigungen steckt ist an jeder anderen Stelle sinnvoller aufgehoben.

  19. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 24.11.17 - 09:07

    DAUVersteher schrieb:
    --------------------------------------------------------------------------------
    >Über die Cloud klickt man
    > einfach Abends auf dem Sofa im Webinterface des Anbieters auf den Pleil
    > nach oben und schon wird die Lastspitze abgefangen.

    Eine korrekt konfigurierte cloud macht das vollautomatisch, innerhalb der finanziellen, geographischen, strukturellen und logischen Grenzen die man selbst gewählt hat - sprich man macht GARNICHTS mehr außer dem gelegentlichen Prüfen der Rechnungen (welche üblicherweise recht klein ausfallen)



    1 mal bearbeitet, zuletzt am 24.11.17 09:08 durch tha_specializt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Bundesinstitut für Risikobewertung (BfR), Berlin
  2. Robert Bosch GmbH, Leonberg
  3. Travian Games GmbH, München
  4. ETAS GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-8%) 45,99€
  2. 27,99€
  3. (-15%) 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich

  1. Glasfaser: M-net hat genauso viele FTTB/H-Kunden wie die Telekom
    Glasfaser
    M-net hat genauso viele FTTB/H-Kunden wie die Telekom

    M-net konnte gerade seinen hunderttausendsten Glasfaseranschluss verkaufen. Damit zieht der lokale Stadtnetzbetreiber mit der Deutschen Telekom gleich.

  2. 240 Kilometer: 1&1 Versatel erweitert Glasfasernetz in Norddeutschland
    240 Kilometer
    1&1 Versatel erweitert Glasfasernetz in Norddeutschland

    1&1 Versatel kündigt in Mecklenburg-Vorpommern und Schleswig-Holstein weitere Ausbauziele an. Firmenkunden bietet der Netzwerkbetreiber Datenübertragungsraten von bis zu 100 GBit/s.

  3. MobileCoin: Neue Cryptowährung von Signal-Erfinder Marlinspike
    MobileCoin
    Neue Cryptowährung von Signal-Erfinder Marlinspike

    Mit der Messenger-App Signal und dem auch von Whatsapp eingesetzten Signal-Protokoll ist Moxie Marlinspike ein großer Coup gelungen. Den will er nun mit einer Bitcoin-Alternative wiederholen.


  1. 18:24

  2. 17:49

  3. 17:36

  4. 17:05

  5. 16:01

  6. 15:42

  7. 15:08

  8. 13:35