Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

.GIT, .DS_Store,.. auf Webservern

  1. Thema

Neues Thema Ansicht wechseln


  1. .GIT, .DS_Store,.. auf Webservern

    Autor: elgooG 14.03.18 - 10:54

    Das eigentliche Problem ist doch nicht, dass die Dateien sensible Daten enthalten könnten, sondern, dass diese rein gar nichts auf Webservern verloren haben. Jeder der mit seinem Gerät umgehen kann, weiß davon und schließt sie schlicht und einfach beim Deployment aus. Ein saubereres Deployment-Paket sollte ja das mindeste sein, was man zustande bringen können müsste.

    Im Grunde ist es das selbe Problem wie mit den GIT- oder SVN-Verzeichnissen auf Webservern, die nebenbei deutlich mehr Probleme bereiten.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 14.03.18 10:55 durch elgooG.

  2. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: dabbes 14.03.18 - 10:59

    Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der King schlechthin, der hat auf git auf dem Webserver bestanden.

    Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit Begriffen wie "deployen" brauch ich dem nicht zu kommen.

    Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass ICH NIEMALS arbeitslos sein werde.

  3. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: fuzzy 14.03.18 - 11:03

    Git auf dem Webserver ist überhaupt kein Problem. Man hat halt einfach nicht das .git-Verzeichnis im Webroot, Ende der Geschichte.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  4. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: My1 14.03.18 - 11:04

    es wäre ja zumindest schonmal hilfreich wenn nicht jede bescheuerte zip die in apple erstellt wird diesen müll enthält.

    Asperger inside(tm)

  5. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: dabbes 14.03.18 - 11:24

    Und genau das war das Problem was er einfach nicht verstehen wollte.

  6. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: quark2017 14.03.18 - 11:34

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Git auf dem Webserver ist überhaupt kein Problem. Man hat halt einfach
    > nicht das .git-Verzeichnis im Webroot, Ende der Geschichte.

    Sehe ich auch so!
    Ich musste diese Lösung in Low-Budget-Projekten auch schon mal fahren.

    Des Weiteren ist aber auch bedenklich, dass dot-Dateien vom Webserver ausgeliefert werden. Ich kenne keinen sinnvollen Anwendungsfall dafür, daher liefern meine Webserver für solche Dateien ein 404.

    Man möge mich korrigieren ;-)

  7. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: Xiut 14.03.18 - 11:34

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der
    > King schlechthin, der hat auf git auf dem Webserver bestanden.
    >
    > Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit
    > Begriffen wie "deployen" brauch ich dem nicht zu kommen.
    >
    > Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass
    > ICH NIEMALS arbeitslos sein werde.

    Also ich deploye mehrere Projekte per GIT, was auch super funktioniert und absolut kein Problem ist...

    Zum einen dürfte ein normaler Webserver keine versteckten Ordner und auch Dateien mit . am Anfang ausliefern und zum anderen liegt das Repository eben nicht im Document-Root, sondern außerhalb und die Änderungen werden per entsprechenden Hook einfach an die richtige Stelle im Document-Root geschrieben usw.

    Das eigentliche Problem sind nicht GIT, SVN, .DS_Store und co., sondern falsch konfigurierte Server UND Admins, die sich solchen Gefahren nicht bewusst sind, aber bewusst sein sollten...

    Mich persönlich würde es schon richtig nerven, wenn mir solche Dateien den Document-Root zumüllen. Da haben Dateien etwas zu suchen, die wirklich dort gebraucht werden.

  8. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: anonymer.root 14.03.18 - 11:56

    Bei Low-Budget Projekten ist die einzige Alternative Copy-und-Paste per WinSCP, daher lobe ich mir dort einfaches Deployment via GIT. Push in ein Verzeichnis ausserhalb von htdocs, bspw. /var/git - dort per Post-Receive hook einfache Deployment-Tasks (Dateien kopieren, cache leeren, Datenbank aktualisieren) durchführen ist für kleine Projekte eine praxisnahe Lösung.

    Wenn der Kunde es mir bezahlen würde, würde ich auch lieber mit Jenkins oder Bamboo eine richtige Pipeline aufbauen, den Aufwand zahlt der Kunde halt manchmal nicht.

  9. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: elgooG 14.03.18 - 12:25

    Das ist ja auch etwas völlig anderes. Entweder wird der Zugriff explizit verweigert, oder .git landet zumindest nicht im Webroot. Ob es sich dann um ein sauberes Deployment handelt oder nicht, darüber lässt sich streiten, aber die Sicherheit ist gewährleistet.

    Nur das Problem ist, dass es offenbar extrem oft auftritt, dass den Verantwortlichen erst gar nicht bewusst ist, was sie da überhaupt machen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  10. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: TheUnichi 14.03.18 - 15:53

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der
    > King schlechthin, der hat auf git auf dem Webserver bestanden.
    >
    > Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit
    > Begriffen wie "deployen" brauch ich dem nicht zu kommen.
    >
    > Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass
    > ICH NIEMALS arbeitslos sein werde.

    Ist doch gar kein Problem. Entweder alle .-Dateien/Ordner sperren oder einfach .git nicht in den Web-Root. Ich deploye alle Seiten direkt mit Git, weil es darauf hinaus läuft, dass ein Update meiner gesamten Produktiv-Applikation nicht mehr als zwei commands benötigt (3, wenn ich den Cache noch leere)

    Alles andere ist doch eine riesige rsync-Orgie die immer wieder angepasst werden muss, wenn sich die Struktur mal marginal ändert.

  11. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: MarioWario 14.03.18 - 19:37

    Im Prinzip ist den Leuten nicht mehr zu helfen, holen sich IFTTT ins Haus , irgendwelche Skript-Meisterwerke wie 'right-padding' aus ganz exklusiven Kollektionen, usw.

    Sehen - Verstehen - Anwenden

  12. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: redmord 14.03.18 - 20:44

    Let's Encrypt: https://github.com/ietf-wg-acme/acme/

  13. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: redmord 14.03.18 - 20:51

    https://www.npmjs.com/package/right-pad

    10k downloads am Tag. Waaahh!?

    Scheint der einzige zu sein, der es drauf hat. :)

  14. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: tomatentee 14.03.18 - 22:03

    Warum zur hölle braucht man dazu ein package? oO

    x="hallo"
    while(x.length<18) {x+="."}

    ???

  15. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: traxanos 14.03.18 - 22:15

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Das eigentliche Problem sind nicht GIT, SVN, .DS_Store und co., sondern
    > falsch konfigurierte Server UND Admins, die sich solchen Gefahren nicht
    > bewusst sind, aber bewusst sein sollten...

    Nein das ist keine Aufgabe des Admins! Dieser hat nicht zu entscheiden was ausgeliefert wird und was nicht! Das ist der Aufgabe des Anwendungsentwicklers. Nur dieser kann entscheiden was benötigen wird und was nicht. Und nur weil eine Datei mit einem Punkt anfängt ist es nicht per se etwas was nicht ausgeliefert werden darf.

    Lets Encrypt wurde schon als Beispiel genannt.

    Es ist Ganz einfach -> In öffentlichen Ordner hat einfach keine Datei zu suchen die nicht ausgeliefert werden darf - Punkt! Dazu gehören auch z.B. Dateien mit Secrets wie eine config.inc.php.

    Das ist genau so, dass kein interner Service (z.B. Memcache oder PostgreSQL) an einer öffentlichen IP-Adresse gebunden ist, bzw. nicht aus dem Internet erreichbar ist. Das wiederum ist die Aufgabe eines Admins!

  16. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: SITDnow 15.03.18 - 18:03

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Warum zur hölle braucht man dazu ein package? oO
    >
    > x="hallo"
    > while(x.length<18) {x+="."}
    >
    > ???


    Warum zur Hölle braucht man dazu eine Schleife - schau dir mal String.prototype.repeat an ;)

  17. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: freebyte 22.03.18 - 13:56

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Warum zur hölle braucht man dazu ein package? oO
    >
    > x="hallo"
    > while(x.length<18) {x+="."}

    (Zu) viele Entwickler unterliegen dem Irrglauben, dass nicht sichtbarer Code ganz automagisch schneller und ressourcenschonender ist als wenn man es "ausgeschrieben" im Hauptprogramm hat.

    Und deine Variante erzeugt im Ernstfall 18 Kopien für die GC - besser die Füllänge ermitteln und im Paket anhängen ;)

    fb

  18. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: quark2017 23.03.18 - 00:06

    traxanos schrieb:
    --------------------------------------------------------------------------------
    > Xiut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Nein das ist keine Aufgabe des Admins! Dieser hat nicht zu entscheiden was
    > ausgeliefert wird und was nicht! Das ist der Aufgabe des
    > Anwendungsentwicklers. Nur dieser kann entscheiden was benötigen wird und
    > was nicht. Und nur weil eine Datei mit einem Punkt anfängt ist es nicht per
    > se etwas was nicht ausgeliefert werden darf.

    Ja ja, und was sagt die Praxis?

    letsencrypt fällt wiederum unter das Aufgabengebiet des Admins!
    Dieser kann für solche Ordner eine entsprechende Ausnahme für dot-Dateien einrichten.

    Mit deiner Einstellung, leben wir in einer heilen Welt, in der jeder Beteiligte alle Aspekte des Systems kennt - NICHT! So ein 0815-Webentwickler hat nunmal keine Ahnung, dass Dateien, die auf dem eigenen Rechner "unsichtbar" sind, plötzlich vom Webserver ausgeliefert werden.

    Anders herum. Wenn du meinst, ein Admin solle den Webserver in der Default-Konfiguration betreiben .... wozu dann noch einen Admin beschäftigen?
    Software installieren (mit den default Einstellungen) kann ja jeder Webentwickler.

    Die Lösung ist: der Admin wird verdammt nochmal dafür bezahlt, solche Sicherheitsrisiken mit geeigneter Konfiguration zu entschärfen!



    1 mal bearbeitet, zuletzt am 23.03.18 00:09 durch quark2017.

  19. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: sori 15.05.18 - 23:32

    (entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...)

    Was ich hier sehe ist viel Fachwissen. Gibt es evtl. einen Guide o.ä., den ich als "werdenden Webentwickler" lesen soll? Etwas, das man mir empfehlen kann, damit genau solche Sachen nicht passieren können?

    Vielen Dank.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ETAS GmbH, Stuttgart
  2. Autobahn Tank & Rast Gruppe, Bonn
  3. Diehl Metall Stiftung & Co. KG, Röthenbach an der Pegnitz
  4. Viega Holding GmbH & Co. KG, Attendorn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

  1. Notebook: Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu
    Notebook
    Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu

    Die Tastaturen in Macbook- oder Macbook-Pro-Modellen können fehlerhaft sein. Das hat Apple nach mehreren Monaten zugegeben. Betroffene Kunden können sich kostenlos eine funktionierende Tastatur in ihr Notebook einbauen lassen.

  2. Oberstes US-Gericht: Durchsuchungsbefehl für Abfrage von Handyposition notwendig
    Oberstes US-Gericht
    Durchsuchungsbefehl für Abfrage von Handyposition notwendig

    Der oberste US-Gerichtshof der USA hat den Schutz der Privatsphäre erhöht. Sicherheitsbehörden dürfen nicht einfach auf die Funkmastdaten eines Handys zugreifen. Dafür wird ein richterlich angeordneter Durchsuchungsbefehl verlangt.

  3. Vodafone: Edeka Mobil erhält mehr ungedrosseltes Datenvolumen
    Vodafone
    Edeka Mobil erhält mehr ungedrosseltes Datenvolumen

    Edeka Mobil von Vodafone lebt weiter und die Leistungen des Tarifs werden aufgestockt. Das ungedrosselte Datenvolumen erhöht sich ohne Preisaufschlag. Zudem ist es einfacher geworden, das Guthaben aufzuladen.


  1. 11:59

  2. 11:33

  3. 10:59

  4. 10:22

  5. 09:02

  6. 17:15

  7. 16:45

  8. 16:20