Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Lösegeld: Uber verheimlicht Hack von…

Sourcecode gehört nicht in die Cloud

  1. Thema

Neues Thema Ansicht wechseln


  1. Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 10:08

    Ich sags immer wieder, vor allem zu allen Hipster-Entwicklern, die glauben die Cloud würde sie cooler machen.

    Nochmal für alle die mit dem Mac im Starbucks hocken:
    a) Sourcecode gehört nicht in die Cloud, außer die "Cloud" steht irgendwo intern und man greift von außen einfach über einen VPN Tunnel drauf zu.
    b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud, sondern einfach auf dem Computer von jemand anderem.

    Wer von überall auf sein GIT zugreifen will, solle einfach bitte den GIT Server dort im Büro stehen lassen wo er nunmal steht und per VPN ins Netz rein gehen. Wem das zu kompliziert ist, der kann die Ports ja weiterleiten. Hier bitte vorsichtig sein und die Firewall des Systems im gleichen Zuge anpacken. Iptables ist dein Freund!

  2. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 10:24

    Sourcecode? Ich glaube es würde reichen zu sagen, dass Zugangsdaten nicht in die Cloud gehören. Oder besser noch: Zugangsdaten gehören nicht in den Code.

    Ich stelle mir gerade vor wie Entwickler, die gerne mal Zugangsdaten in die Cloud hochladen, nun ihre eigenen Codeverwaltungssystem, Firewalls, VPN und IPTables konfigurieren sollen...



    1 mal bearbeitet, zuletzt am 22.11.17 10:29 durch bolzen.

  3. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 10:31

    Soll es ja wohl geben. Gut ich hab auch schon Leute gesehen, die meinten sie wären ganz besonders sicher, weil sie alle Zugangsdaten zur DB in einer config Datei ablegen und nicht im Code. Doof wenn selbige auch im www root liegt.

  4. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 10:34

    Guter honey pot ;)

  5. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 11:32

    solange die zugriffsrechte darauf entsprechend eingeschränkt bleiben ist auch dieser ort genauso sicher wie an anderer stelle im verzeichnisbaum.



    1 mal bearbeitet, zuletzt am 22.11.17 11:32 durch ML82.

  6. Re: Sourcecode gehört nicht in die Cloud

    Autor: redmord 22.11.17 - 11:39

    Stimmt. Und dennoch ... es gibt gute Designprinzipien und es gibt nicht so gute. Was nicht bedeutet, dass die nicht so guten ihren Zwecke nicht erfüllen könnten.

    Ein gutes Bepsiel: im Webroot nur das liegen haben, was für den Webserver auch sichtbar sein soll.

    Ein nicht so gutes Beispiel: Alles im Webroot liegen haben und händisch owner, chmod und ACL regeln. Da kommt ganz sicher ein Kollege vorbei, der das Projekt nicht kennt und probiert mal: `chmod -R 777 *`. Oder beim Deployment wird von der Urlaubsvertretung vergessen, dass es ja noch dieses super wichtige Skript gab, welches die Rechte regelt... :)

  7. Korrektur: Closed-Source Sourcecode gehört nicht in die Cloud

    Autor: deutscher_michel 22.11.17 - 11:52

    Wobei das auch nur für Firmen zutrifft die ihrem Code nicht trauen und glauben es sei sicherer wenn lieber niemand nach Schwachstellen gucken kann - oder sie sich wegen der Qualität (zurecht) schämen).

    Code gehört veröffentlicht in der Cloud (oder sonstwo) - denn Sicherheit durch geheimhaltung des Codes kann man eh in der Pfeiffe rauchen.. :)

  8. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 13:25

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud,
    > sondern einfach auf dem Computer von jemand anderem.

    Was fürn kollosaler Schwachsinn.

  9. Re: Sourcecode gehört nicht in die Cloud

    Autor: Kein Kostverächter 22.11.17 - 13:31

    Genau das ist eine Cloud: Ein Konglomerat von Computern, die ueblicherweise jemand anderes gehoeren. Wo sollen die Daten denn sonst sein? In einer koerperlosen Elektronenwolke im Aether? Soweit sind wir noch nicht... ;-)
    Aber nur damit hat der OP recht. Source-Code kann ruhig oeffentlich sein. Zugangsdaten allerdings (und das war ja auch Ubers Problem) haben auf anderer Leutes Computern nun wirklich nichts zu suchen.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    Gesendet von meinem AppleTree iphone23 mit GoogleByte TalkAlways
    What the FUUK is going on?

  10. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 13:40

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > Soll es ja wohl geben. Gut ich hab auch schon Leute gesehen, die meinten
    > sie wären ganz besonders sicher, weil sie alle Zugangsdaten zur DB in einer
    > config Datei ablegen und nicht im Code. Doof wenn selbige auch im www root
    > liegt.
    Die Zugangsdaten gehören nunmal irgendwo hin, wo der Webserver sie lesen kann. Dabei ist es egal ob sie im Code stehen oder in einer seperaten Konfig-Datei.
    Sie in eine .txt-Datei zu schreiben und den Code auszulesen ist natürlich selten dämlich aber im Normalfall stehen die Zugangsdaten in einer .php-Datei ohne Ausgabe. Da sind dann die Rechte auch komplett egal solange der Webserver .php-Dateien Parst. Wenn aber durch einen Konfigurationsfehler .php-Dateien nichtmehr geparst werden ist eh alles zu spät da egal wo die Zugangsdaten stehen dann alles sichtbar ist.

    Die Datei eine Ebene über dem www-root zu legen bringt ebenfalls nichts. Entweder der Webserver hat da schon keinen Zugriff mehr oder wenn er Zugriff hat, kommt man da auch als Benutzer dran.

  11. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 13:47

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Genau das ist eine Cloud: Ein Konglomerat von Computern, die ueblicherweise
    > jemand anderes gehoeren.

    Falsch.

    > Wo sollen die Daten denn sonst sein?

    Das ist extrem davon abhängig was für ein Modell man wählt - das kann Arbeitsspeicher sein, eine HDD, eine SSD, verteilt in P2P - Netzwerken und somit immer nur sehr kurzzeitig auf diversen Platten ... aber natürlich allesamt gesichert, streng kontrolliert und mit Zugangsbeschränkungen versehen

    >In einer
    > koerperlosen Elektronenwolke im Aether?

    Sozusagen - wenn man alle cloud Dienste zusammenfassen möchte so kann man sich das stark vereinfacht (und etwas kindlich) so vorstellen - mitunter weiss nichtmal der Anbieter wo die Daten denn jetzt EXAKT und physisch sind

    > Soweit sind wir noch nicht... ;-)

    So weit waren "wir" schon vor 10 Jahren, google mal "SaaS" und staune.



    1 mal bearbeitet, zuletzt am 22.11.17 13:49 durch tha_specializt.

  12. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 14:05

    man kann schon sehr einfach dazu gängeln, rechtevergaben im code prüfen und jede weitere funktion mit einer nicht sicheren konfiguration verhindern:

    if (fileperms ('config.php') != 644) die ('RTFM');



    1 mal bearbeitet, zuletzt am 22.11.17 14:14 durch ML82.

  13. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 14:10

    tha_specializt schrieb:
    --------------------------------------------------------------------------------
    > Kein Kostverächter schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Genau das ist eine Cloud: Ein Konglomerat von Computern, die
    > ueblicherweise
    > > jemand anderes gehoeren.
    >
    > Falsch.
    >
    > > Wo sollen die Daten denn sonst sein?
    >
    > Das ist extrem davon abhängig was für ein Modell man wählt - das kann
    > Arbeitsspeicher sein, eine HDD, eine SSD, verteilt in P2P - Netzwerken und
    > somit immer nur sehr kurzzeitig auf diversen Platten ... aber natürlich
    > allesamt gesichert, streng kontrolliert und mit Zugangsbeschränkungen
    > versehen
    >
    > >In einer
    > > koerperlosen Elektronenwolke im Aether?
    >
    > Sozusagen - wenn man alle cloud Dienste zusammenfassen möchte so kann man
    > sich das stark vereinfacht (und etwas kindlich) so vorstellen - mitunter
    > weiss nichtmal der Anbieter wo die Daten denn jetzt EXAKT und physisch
    > sind
    >
    > > Soweit sind wir noch nicht... ;-)
    >
    > So weit waren "wir" schon vor 10 Jahren, google mal "SaaS" und staune.

    Was fürn kollosaler Schwachsinn.

    Nur weil der Anbieter gerade nicht weiss wo die Daten dank der verteilten Raids nun sind, macht es das ganze noch lange nicht zu etwas Mystischem. SaaS... lol

  14. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 14:26

    bolzen schrieb:
    --------------------------------------------------------------------------------
    > die Daten dank der verteilten Raids

    Wie man sieht weisst du nichtmal was der Begriff "cloud" überhaupt bedeutet. Ich denke du solltest dich wieder deinem Youtube oder Facebook feed widmen.

  15. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 14:32

    Dateisystemrechte sind so ziemlich das Allerletzte Sicherheitsloch das zu schliessen wäre - viel wichtiger sind Sicherheitsmechanismen in den scripts selbst denn shell-Zugriff bekommt man üblicherweise erst NACHDEM die scripts schon missbraucht werden

  16. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 15:04

    sicher, es ging auch nur darum zu verhindern dass dahingehend schlampig konfigurierte installationen überhaupt genutzt werden können.

    dass man weitere maßnahmen dafür aufgeben soll hat doch hoffentlich keiner gedacht oder?

  17. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 15:07

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > Ich sags immer wieder, vor allem zu allen Hipster-Entwicklern, die glauben
    > die Cloud würde sie cooler machen.
    Gerade für kleine Firmen ist die Cloud sehr sinnvoll.

    Wenn man sich selbst um Backups und flexiblilität kümmern muss, geht viel Entwicklungszeit verloren und man muss erstmal mehrere Server kaufen, diese einrichten, man braucht entweder eine dicke Internetleitung oder muss sich bei einem Colocationanbieter einmieten uvm. Daher bucht man lieber eine Cloud, läd da alles rein und der Anbieter kümmert sich dann um die Verfügbarkeit, Backup usw. Als Entwickler hat man dann deutlich mehr Zeit zu entwickeln. Sollte sich die eigene Idee dann als brauchbar herausstellen, kann man bei den Cloudanbietern recht einfach weitere Ressourcen mit wenigen Mausklicks hinzubuchen. Wenn die eigene Idee dann doch eine Totgeburt ist, kündigt man den Cloudanbietervertrag und das wars. Wenn man eigene Server gekauft hat, muss man diese entweder noch abbezahlen oder sie irgendwie verkaufen.
    > Nochmal für alle die mit dem Mac im Starbucks hocken:
    > a) Sourcecode gehört nicht in die Cloud, außer die "Cloud" steht irgendwo
    > intern und man greift von außen einfach über einen VPN Tunnel drauf zu.
    Dann muss man sich aber auch noch um Backups kümmern welche nicht am gleichen Ort sein sollten.
    > b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud,
    > sondern einfach auf dem Computer von jemand anderem.
    "Die Cloud" ist doch der "Computer von jemand anderem". Den Code beim Büronachbarn abzuspeichern ist nicht sonderlich sinnvoll. Wenn das Gebäude abbrennt, es zu einem Wasserschaden oder einfach "nur" einem Einbruch kommt, sind die Daten weg. Nicht jede IT-Klitsche kann sich mehrere Server an unterschiedlichen Orten leisten, da ist die Cloud nunmal billiger und "besser".
    > Wer von überall auf sein GIT zugreifen will, solle einfach bitte den GIT
    > Server dort im Büro stehen lassen wo er nunmal steht und per VPN ins Netz
    > rein gehen. Wem das zu kompliziert ist, der kann die Ports ja weiterleiten.
    > Hier bitte vorsichtig sein und die Firewall des Systems im gleichen Zuge
    > anpacken. Iptables ist dein Freund!
    Das ist ja locker schon eine ganze Stelle, die man entweder einstellen muss oder man selbst kommt nichtmehr dazu, zu programmieren. Sowohl GIT als auch das VPN und Iptables-Zeugs will auf dem neusten Stand gehalten werden. Vor einem Update sollte man zudem alles in einer Testumgebung probieren damit nicht plötzlich keiner mehr aufs GIT kommt.


    Natürlich könnte sich Uber inzwischen locker eigene Leute dafür leisten aber wenn es schonmal in der Cloud läuft, lässt man es gerne dort. Sollten die Buchungen nun plötzlich stark ansteigen, weshalb auch immer, dauerts nunmal, bis man neue Server bestellt hat, diese eingerichtet hat, ggf. Platz für neue Server freigeräumt hat usw. Über die Cloud klickt man einfach Abends auf dem Sofa im Webinterface des Anbieters auf den Pleil nach oben und schon wird die Lastspitze abgefangen. Zudem ziehen solche Startups am Anfang gerne des öfteren um. Mit einer eigenen Inhouse-Serverfarm ist ein Umzug um ein vielfaches komplizierter/teurer als mit der Cloud.

  18. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 15:19

    Mit zu strickten Prüfungen kann man sich oft mehr Probleme einhandeln als welche zu lösen. Nur die config.php zu prüfen mag noch übersichtlich sein, ist aber halt quasi zwecklos. Wenn jemand Zugriff aufs Dateisystem hat, kann er die Datei auch mit 644 noch lesen.
    Die Zeit die man in Zugriffsberechtigungen steckt ist an jeder anderen Stelle sinnvoller aufgehoben.

  19. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 24.11.17 - 09:07

    DAUVersteher schrieb:
    --------------------------------------------------------------------------------
    >Über die Cloud klickt man
    > einfach Abends auf dem Sofa im Webinterface des Anbieters auf den Pleil
    > nach oben und schon wird die Lastspitze abgefangen.

    Eine korrekt konfigurierte cloud macht das vollautomatisch, innerhalb der finanziellen, geographischen, strukturellen und logischen Grenzen die man selbst gewählt hat - sprich man macht GARNICHTS mehr außer dem gelegentlichen Prüfen der Rechnungen (welche üblicherweise recht klein ausfallen)



    1 mal bearbeitet, zuletzt am 24.11.17 09:08 durch tha_specializt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fasihi GmbH, Ludwigshafen am Rhein
  2. Schwarzwald-Baar Klinikum Villingen-Schwenningen GmbH, Villingen-Schwenningen
  3. SysEleven GmbH, Berlin
  4. Universität Passau, Passau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 77€ (Vergleichspreis 97€)
  2. 39,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt (Vergleichspreis 69...
  3. für 185€ (Bestpreis!)
  4. (u. a. MSI Z370 Tomahawk für 119€ statt 143,89€ im Vergleich und Kingston A1000 240 GB M.2...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

  1. HP Elitebook 735 G5 im Test: Das beste Subnotebook mit AMDs Ryzen
    HP Elitebook 735 G5 im Test
    Das beste Subnotebook mit AMDs Ryzen

    Grundsätzlich gefällt uns das Elitebook 735 G5: Flotter Ryzen-Chip, die Option auf Dualchannel-DDR4 ist gegeben, das matte Display strahlt ausreichend und die Lüftersteuerung taugt. Kritik gibt's aber auch, etwa die seitens HP zu geringe TDP oder das fehlende hellere Display oder die Laufzeit.

  2. 502 Bad Gateway: Googles Load-Balancer nehmen Spotify kurzzeitig offline
    502 Bad Gateway
    Googles Load-Balancer nehmen Spotify kurzzeitig offline

    Ein Fehler mit den globalen Load-Balancern der Google Cloud hat am Dienstagabend (MESZ) für den Ausfall von Diensten wie Spotify, Snapchat oder auch einiger Onlinespiele wie Pokémon Go gesorgt. Das Problem konnte schnell behoben werden.

  3. EU-Kommission: Neue Rekordstrafe gegen Google erwartet
    EU-Kommission
    Neue Rekordstrafe gegen Google erwartet

    Die EU-Kommission plant Berichten zufolge, heute eine neue Milliardenstrafe gegen Googles Mutterkonzern Alphabet zu verhängen. Es geht um den Missbrauch der marktbeherrschenden Stellung durch Android.


  1. 12:04

  2. 11:53

  3. 11:07

  4. 11:01

  5. 10:46

  6. 10:26

  7. 10:11

  8. 09:01