Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Lösegeld: Uber verheimlicht Hack von…

Sourcecode gehört nicht in die Cloud

  1. Thema

Neues Thema Ansicht wechseln


  1. Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 10:08

    Ich sags immer wieder, vor allem zu allen Hipster-Entwicklern, die glauben die Cloud würde sie cooler machen.

    Nochmal für alle die mit dem Mac im Starbucks hocken:
    a) Sourcecode gehört nicht in die Cloud, außer die "Cloud" steht irgendwo intern und man greift von außen einfach über einen VPN Tunnel drauf zu.
    b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud, sondern einfach auf dem Computer von jemand anderem.

    Wer von überall auf sein GIT zugreifen will, solle einfach bitte den GIT Server dort im Büro stehen lassen wo er nunmal steht und per VPN ins Netz rein gehen. Wem das zu kompliziert ist, der kann die Ports ja weiterleiten. Hier bitte vorsichtig sein und die Firewall des Systems im gleichen Zuge anpacken. Iptables ist dein Freund!

  2. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 10:24

    Sourcecode? Ich glaube es würde reichen zu sagen, dass Zugangsdaten nicht in die Cloud gehören. Oder besser noch: Zugangsdaten gehören nicht in den Code.

    Ich stelle mir gerade vor wie Entwickler, die gerne mal Zugangsdaten in die Cloud hochladen, nun ihre eigenen Codeverwaltungssystem, Firewalls, VPN und IPTables konfigurieren sollen...



    1 mal bearbeitet, zuletzt am 22.11.17 10:29 durch bolzen.

  3. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 10:31

    Soll es ja wohl geben. Gut ich hab auch schon Leute gesehen, die meinten sie wären ganz besonders sicher, weil sie alle Zugangsdaten zur DB in einer config Datei ablegen und nicht im Code. Doof wenn selbige auch im www root liegt.

  4. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 10:34

    Guter honey pot ;)

  5. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 11:32

    solange die zugriffsrechte darauf entsprechend eingeschränkt bleiben ist auch dieser ort genauso sicher wie an anderer stelle im verzeichnisbaum.



    1 mal bearbeitet, zuletzt am 22.11.17 11:32 durch ML82.

  6. Re: Sourcecode gehört nicht in die Cloud

    Autor: redmord 22.11.17 - 11:39

    Stimmt. Und dennoch ... es gibt gute Designprinzipien und es gibt nicht so gute. Was nicht bedeutet, dass die nicht so guten ihren Zwecke nicht erfüllen könnten.

    Ein gutes Bepsiel: im Webroot nur das liegen haben, was für den Webserver auch sichtbar sein soll.

    Ein nicht so gutes Beispiel: Alles im Webroot liegen haben und händisch owner, chmod und ACL regeln. Da kommt ganz sicher ein Kollege vorbei, der das Projekt nicht kennt und probiert mal: `chmod -R 777 *`. Oder beim Deployment wird von der Urlaubsvertretung vergessen, dass es ja noch dieses super wichtige Skript gab, welches die Rechte regelt... :)

  7. Korrektur: Closed-Source Sourcecode gehört nicht in die Cloud

    Autor: deutscher_michel 22.11.17 - 11:52

    Wobei das auch nur für Firmen zutrifft die ihrem Code nicht trauen und glauben es sei sicherer wenn lieber niemand nach Schwachstellen gucken kann - oder sie sich wegen der Qualität (zurecht) schämen).

    Code gehört veröffentlicht in der Cloud (oder sonstwo) - denn Sicherheit durch geheimhaltung des Codes kann man eh in der Pfeiffe rauchen.. :)

  8. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 13:25

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud,
    > sondern einfach auf dem Computer von jemand anderem.

    Was fürn kollosaler Schwachsinn.

  9. Re: Sourcecode gehört nicht in die Cloud

    Autor: Kein Kostverächter 22.11.17 - 13:31

    Genau das ist eine Cloud: Ein Konglomerat von Computern, die ueblicherweise jemand anderes gehoeren. Wo sollen die Daten denn sonst sein? In einer koerperlosen Elektronenwolke im Aether? Soweit sind wir noch nicht... ;-)
    Aber nur damit hat der OP recht. Source-Code kann ruhig oeffentlich sein. Zugangsdaten allerdings (und das war ja auch Ubers Problem) haben auf anderer Leutes Computern nun wirklich nichts zu suchen.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    Gesendet von meinem AppleTree iphone23 mit GoogleByte TalkAlways
    What the FUUK is going on?

  10. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 13:40

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > Soll es ja wohl geben. Gut ich hab auch schon Leute gesehen, die meinten
    > sie wären ganz besonders sicher, weil sie alle Zugangsdaten zur DB in einer
    > config Datei ablegen und nicht im Code. Doof wenn selbige auch im www root
    > liegt.
    Die Zugangsdaten gehören nunmal irgendwo hin, wo der Webserver sie lesen kann. Dabei ist es egal ob sie im Code stehen oder in einer seperaten Konfig-Datei.
    Sie in eine .txt-Datei zu schreiben und den Code auszulesen ist natürlich selten dämlich aber im Normalfall stehen die Zugangsdaten in einer .php-Datei ohne Ausgabe. Da sind dann die Rechte auch komplett egal solange der Webserver .php-Dateien Parst. Wenn aber durch einen Konfigurationsfehler .php-Dateien nichtmehr geparst werden ist eh alles zu spät da egal wo die Zugangsdaten stehen dann alles sichtbar ist.

    Die Datei eine Ebene über dem www-root zu legen bringt ebenfalls nichts. Entweder der Webserver hat da schon keinen Zugriff mehr oder wenn er Zugriff hat, kommt man da auch als Benutzer dran.

  11. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 13:47

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Genau das ist eine Cloud: Ein Konglomerat von Computern, die ueblicherweise
    > jemand anderes gehoeren.

    Falsch.

    > Wo sollen die Daten denn sonst sein?

    Das ist extrem davon abhängig was für ein Modell man wählt - das kann Arbeitsspeicher sein, eine HDD, eine SSD, verteilt in P2P - Netzwerken und somit immer nur sehr kurzzeitig auf diversen Platten ... aber natürlich allesamt gesichert, streng kontrolliert und mit Zugangsbeschränkungen versehen

    >In einer
    > koerperlosen Elektronenwolke im Aether?

    Sozusagen - wenn man alle cloud Dienste zusammenfassen möchte so kann man sich das stark vereinfacht (und etwas kindlich) so vorstellen - mitunter weiss nichtmal der Anbieter wo die Daten denn jetzt EXAKT und physisch sind

    > Soweit sind wir noch nicht... ;-)

    So weit waren "wir" schon vor 10 Jahren, google mal "SaaS" und staune.



    1 mal bearbeitet, zuletzt am 22.11.17 13:49 durch tha_specializt.

  12. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 14:05

    man kann schon sehr einfach dazu gängeln, rechtevergaben im code prüfen und jede weitere funktion mit einer nicht sicheren konfiguration verhindern:

    if (fileperms ('config.php') != 644) die ('RTFM');



    1 mal bearbeitet, zuletzt am 22.11.17 14:14 durch ML82.

  13. Re: Sourcecode gehört nicht in die Cloud

    Autor: bolzen 22.11.17 - 14:10

    tha_specializt schrieb:
    --------------------------------------------------------------------------------
    > Kein Kostverächter schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Genau das ist eine Cloud: Ein Konglomerat von Computern, die
    > ueblicherweise
    > > jemand anderes gehoeren.
    >
    > Falsch.
    >
    > > Wo sollen die Daten denn sonst sein?
    >
    > Das ist extrem davon abhängig was für ein Modell man wählt - das kann
    > Arbeitsspeicher sein, eine HDD, eine SSD, verteilt in P2P - Netzwerken und
    > somit immer nur sehr kurzzeitig auf diversen Platten ... aber natürlich
    > allesamt gesichert, streng kontrolliert und mit Zugangsbeschränkungen
    > versehen
    >
    > >In einer
    > > koerperlosen Elektronenwolke im Aether?
    >
    > Sozusagen - wenn man alle cloud Dienste zusammenfassen möchte so kann man
    > sich das stark vereinfacht (und etwas kindlich) so vorstellen - mitunter
    > weiss nichtmal der Anbieter wo die Daten denn jetzt EXAKT und physisch
    > sind
    >
    > > Soweit sind wir noch nicht... ;-)
    >
    > So weit waren "wir" schon vor 10 Jahren, google mal "SaaS" und staune.

    Was fürn kollosaler Schwachsinn.

    Nur weil der Anbieter gerade nicht weiss wo die Daten dank der verteilten Raids nun sind, macht es das ganze noch lange nicht zu etwas Mystischem. SaaS... lol

  14. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 14:26

    bolzen schrieb:
    --------------------------------------------------------------------------------
    > die Daten dank der verteilten Raids

    Wie man sieht weisst du nichtmal was der Begriff "cloud" überhaupt bedeutet. Ich denke du solltest dich wieder deinem Youtube oder Facebook feed widmen.

  15. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 22.11.17 - 14:32

    Dateisystemrechte sind so ziemlich das Allerletzte Sicherheitsloch das zu schliessen wäre - viel wichtiger sind Sicherheitsmechanismen in den scripts selbst denn shell-Zugriff bekommt man üblicherweise erst NACHDEM die scripts schon missbraucht werden

  16. Re: Sourcecode gehört nicht in die Cloud

    Autor: ML82 22.11.17 - 15:04

    sicher, es ging auch nur darum zu verhindern dass dahingehend schlampig konfigurierte installationen überhaupt genutzt werden können.

    dass man weitere maßnahmen dafür aufgeben soll hat doch hoffentlich keiner gedacht oder?

  17. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 15:07

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > Ich sags immer wieder, vor allem zu allen Hipster-Entwicklern, die glauben
    > die Cloud würde sie cooler machen.
    Gerade für kleine Firmen ist die Cloud sehr sinnvoll.

    Wenn man sich selbst um Backups und flexiblilität kümmern muss, geht viel Entwicklungszeit verloren und man muss erstmal mehrere Server kaufen, diese einrichten, man braucht entweder eine dicke Internetleitung oder muss sich bei einem Colocationanbieter einmieten uvm. Daher bucht man lieber eine Cloud, läd da alles rein und der Anbieter kümmert sich dann um die Verfügbarkeit, Backup usw. Als Entwickler hat man dann deutlich mehr Zeit zu entwickeln. Sollte sich die eigene Idee dann als brauchbar herausstellen, kann man bei den Cloudanbietern recht einfach weitere Ressourcen mit wenigen Mausklicks hinzubuchen. Wenn die eigene Idee dann doch eine Totgeburt ist, kündigt man den Cloudanbietervertrag und das wars. Wenn man eigene Server gekauft hat, muss man diese entweder noch abbezahlen oder sie irgendwie verkaufen.
    > Nochmal für alle die mit dem Mac im Starbucks hocken:
    > a) Sourcecode gehört nicht in die Cloud, außer die "Cloud" steht irgendwo
    > intern und man greift von außen einfach über einen VPN Tunnel drauf zu.
    Dann muss man sich aber auch noch um Backups kümmern welche nicht am gleichen Ort sein sollten.
    > b) Wer seinen Kram in der Cloud abspeichert, speichert nicht in der Cloud,
    > sondern einfach auf dem Computer von jemand anderem.
    "Die Cloud" ist doch der "Computer von jemand anderem". Den Code beim Büronachbarn abzuspeichern ist nicht sonderlich sinnvoll. Wenn das Gebäude abbrennt, es zu einem Wasserschaden oder einfach "nur" einem Einbruch kommt, sind die Daten weg. Nicht jede IT-Klitsche kann sich mehrere Server an unterschiedlichen Orten leisten, da ist die Cloud nunmal billiger und "besser".
    > Wer von überall auf sein GIT zugreifen will, solle einfach bitte den GIT
    > Server dort im Büro stehen lassen wo er nunmal steht und per VPN ins Netz
    > rein gehen. Wem das zu kompliziert ist, der kann die Ports ja weiterleiten.
    > Hier bitte vorsichtig sein und die Firewall des Systems im gleichen Zuge
    > anpacken. Iptables ist dein Freund!
    Das ist ja locker schon eine ganze Stelle, die man entweder einstellen muss oder man selbst kommt nichtmehr dazu, zu programmieren. Sowohl GIT als auch das VPN und Iptables-Zeugs will auf dem neusten Stand gehalten werden. Vor einem Update sollte man zudem alles in einer Testumgebung probieren damit nicht plötzlich keiner mehr aufs GIT kommt.


    Natürlich könnte sich Uber inzwischen locker eigene Leute dafür leisten aber wenn es schonmal in der Cloud läuft, lässt man es gerne dort. Sollten die Buchungen nun plötzlich stark ansteigen, weshalb auch immer, dauerts nunmal, bis man neue Server bestellt hat, diese eingerichtet hat, ggf. Platz für neue Server freigeräumt hat usw. Über die Cloud klickt man einfach Abends auf dem Sofa im Webinterface des Anbieters auf den Pleil nach oben und schon wird die Lastspitze abgefangen. Zudem ziehen solche Startups am Anfang gerne des öfteren um. Mit einer eigenen Inhouse-Serverfarm ist ein Umzug um ein vielfaches komplizierter/teurer als mit der Cloud.

  18. Re: Sourcecode gehört nicht in die Cloud

    Autor: Anonymer Nutzer 22.11.17 - 15:19

    Mit zu strickten Prüfungen kann man sich oft mehr Probleme einhandeln als welche zu lösen. Nur die config.php zu prüfen mag noch übersichtlich sein, ist aber halt quasi zwecklos. Wenn jemand Zugriff aufs Dateisystem hat, kann er die Datei auch mit 644 noch lesen.
    Die Zeit die man in Zugriffsberechtigungen steckt ist an jeder anderen Stelle sinnvoller aufgehoben.

  19. Re: Sourcecode gehört nicht in die Cloud

    Autor: tha_specializt 24.11.17 - 09:07

    DAUVersteher schrieb:
    --------------------------------------------------------------------------------
    >Über die Cloud klickt man
    > einfach Abends auf dem Sofa im Webinterface des Anbieters auf den Pleil
    > nach oben und schon wird die Lastspitze abgefangen.

    Eine korrekt konfigurierte cloud macht das vollautomatisch, innerhalb der finanziellen, geographischen, strukturellen und logischen Grenzen die man selbst gewählt hat - sprich man macht GARNICHTS mehr außer dem gelegentlichen Prüfen der Rechnungen (welche üblicherweise recht klein ausfallen)



    1 mal bearbeitet, zuletzt am 24.11.17 09:08 durch tha_specializt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. KWA Betriebs- und Service GmbH, Unterhaching
  2. Amprion GmbH, Brauweiler
  3. Robert Bosch GmbH, Leonberg
  4. über duerenhoff GmbH, Raum Bremen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Game Night 5,98€, Maze Runner 6,98€, Coco 5,98€)
  2. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kaufberatung: Der richtige smarte Lautsprecher
Kaufberatung
Der richtige smarte Lautsprecher

Der Markt für smarte Lautsprecher wird immer größer. Bei der Entscheidung für ein Gerät sind Kaufpreis und Klang wichtig, ebenso die Wahl für einen digitalen Assistenten: Alexa, Google Assistant oder Siri? Wir geben eine Übersicht.
Von Ingo Pakalski

  1. Amazon Alexa Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
  2. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  3. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark

Mobile-Games-Auslese: Bezahlbare Drachen und dicke Bären
Mobile-Games-Auslese
Bezahlbare Drachen und dicke Bären

Rundenbasierte Strategie auf dem Smartphone mit Chaos Reborn Adventure Fantasy von Nintendo in Dragalia Lost - und dicke Alpha-Bären: Die Mobile Games des Monats bieten spannende Unterhaltung für jeden Geschmack.
Von Rainer Sigl

  1. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs
  2. Mobile-Games-Auslese Barbaren und andere knuddelige Fantasyhelden
  3. Seismic Games Niantic kauft Entwickler von Marvel Strike Force

LittleBits Hero Inventor Kit: Die Lizenz zum spaßigen Lernen
LittleBits Hero Inventor Kit
Die Lizenz zum spaßigen Lernen

LittleBits gehört mittlerweile zu den etablierten und erfolgreichen Anbietern für Elektronik-Lehrkästen. Für sein neues Set hat sich der Hersteller eine Lizenz von Marvel Comics gesichert. Versucht LittleBits mit den berühmten Superhelden von Schwächen abzulenken? Wir haben es ausprobiert.
Von Alexander Merz