Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

.GIT, .DS_Store,.. auf Webservern

  1. Thema

Neues Thema Ansicht wechseln


  1. .GIT, .DS_Store,.. auf Webservern

    Autor: elgooG 14.03.18 - 10:54

    Das eigentliche Problem ist doch nicht, dass die Dateien sensible Daten enthalten könnten, sondern, dass diese rein gar nichts auf Webservern verloren haben. Jeder der mit seinem Gerät umgehen kann, weiß davon und schließt sie schlicht und einfach beim Deployment aus. Ein saubereres Deployment-Paket sollte ja das mindeste sein, was man zustande bringen können müsste.

    Im Grunde ist es das selbe Problem wie mit den GIT- oder SVN-Verzeichnissen auf Webservern, die nebenbei deutlich mehr Probleme bereiten.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 14.03.18 10:55 durch elgooG.

  2. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: dabbes 14.03.18 - 10:59

    Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der King schlechthin, der hat auf git auf dem Webserver bestanden.

    Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit Begriffen wie "deployen" brauch ich dem nicht zu kommen.

    Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass ICH NIEMALS arbeitslos sein werde.

  3. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: fuzzy 14.03.18 - 11:03

    Git auf dem Webserver ist überhaupt kein Problem. Man hat halt einfach nicht das .git-Verzeichnis im Webroot, Ende der Geschichte.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  4. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: My1 14.03.18 - 11:04

    es wäre ja zumindest schonmal hilfreich wenn nicht jede bescheuerte zip die in apple erstellt wird diesen müll enthält.

    Asperger inside(tm)

  5. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: dabbes 14.03.18 - 11:24

    Und genau das war das Problem was er einfach nicht verstehen wollte.

  6. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: quark2017 14.03.18 - 11:34

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Git auf dem Webserver ist überhaupt kein Problem. Man hat halt einfach
    > nicht das .git-Verzeichnis im Webroot, Ende der Geschichte.

    Sehe ich auch so!
    Ich musste diese Lösung in Low-Budget-Projekten auch schon mal fahren.

    Des Weiteren ist aber auch bedenklich, dass dot-Dateien vom Webserver ausgeliefert werden. Ich kenne keinen sinnvollen Anwendungsfall dafür, daher liefern meine Webserver für solche Dateien ein 404.

    Man möge mich korrigieren ;-)

  7. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: Xiut 14.03.18 - 11:34

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der
    > King schlechthin, der hat auf git auf dem Webserver bestanden.
    >
    > Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit
    > Begriffen wie "deployen" brauch ich dem nicht zu kommen.
    >
    > Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass
    > ICH NIEMALS arbeitslos sein werde.

    Also ich deploye mehrere Projekte per GIT, was auch super funktioniert und absolut kein Problem ist...

    Zum einen dürfte ein normaler Webserver keine versteckten Ordner und auch Dateien mit . am Anfang ausliefern und zum anderen liegt das Repository eben nicht im Document-Root, sondern außerhalb und die Änderungen werden per entsprechenden Hook einfach an die richtige Stelle im Document-Root geschrieben usw.

    Das eigentliche Problem sind nicht GIT, SVN, .DS_Store und co., sondern falsch konfigurierte Server UND Admins, die sich solchen Gefahren nicht bewusst sind, aber bewusst sein sollten...

    Mich persönlich würde es schon richtig nerven, wenn mir solche Dateien den Document-Root zumüllen. Da haben Dateien etwas zu suchen, die wirklich dort gebraucht werden.

  8. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: anonymer.root 14.03.18 - 11:56

    Bei Low-Budget Projekten ist die einzige Alternative Copy-und-Paste per WinSCP, daher lobe ich mir dort einfaches Deployment via GIT. Push in ein Verzeichnis ausserhalb von htdocs, bspw. /var/git - dort per Post-Receive hook einfache Deployment-Tasks (Dateien kopieren, cache leeren, Datenbank aktualisieren) durchführen ist für kleine Projekte eine praxisnahe Lösung.

    Wenn der Kunde es mir bezahlen würde, würde ich auch lieber mit Jenkins oder Bamboo eine richtige Pipeline aufbauen, den Aufwand zahlt der Kunde halt manchmal nicht.

  9. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: elgooG 14.03.18 - 12:25

    Das ist ja auch etwas völlig anderes. Entweder wird der Zugriff explizit verweigert, oder .git landet zumindest nicht im Webroot. Ob es sich dann um ein sauberes Deployment handelt oder nicht, darüber lässt sich streiten, aber die Sicherheit ist gewährleistet.

    Nur das Problem ist, dass es offenbar extrem oft auftritt, dass den Verantwortlichen erst gar nicht bewusst ist, was sie da überhaupt machen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  10. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: TheUnichi 14.03.18 - 15:53

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der
    > King schlechthin, der hat auf git auf dem Webserver bestanden.
    >
    > Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit
    > Begriffen wie "deployen" brauch ich dem nicht zu kommen.
    >
    > Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass
    > ICH NIEMALS arbeitslos sein werde.

    Ist doch gar kein Problem. Entweder alle .-Dateien/Ordner sperren oder einfach .git nicht in den Web-Root. Ich deploye alle Seiten direkt mit Git, weil es darauf hinaus läuft, dass ein Update meiner gesamten Produktiv-Applikation nicht mehr als zwei commands benötigt (3, wenn ich den Cache noch leere)

    Alles andere ist doch eine riesige rsync-Orgie die immer wieder angepasst werden muss, wenn sich die Struktur mal marginal ändert.

  11. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: MarioWario 14.03.18 - 19:37

    Im Prinzip ist den Leuten nicht mehr zu helfen, holen sich IFTTT ins Haus , irgendwelche Skript-Meisterwerke wie 'right-padding' aus ganz exklusiven Kollektionen, usw.

    Sehen - Verstehen - Anwenden

  12. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: redmord 14.03.18 - 20:44

    Let's Encrypt: https://github.com/ietf-wg-acme/acme/

  13. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: redmord 14.03.18 - 20:51

    https://www.npmjs.com/package/right-pad

    10k downloads am Tag. Waaahh!?

    Scheint der einzige zu sein, der es drauf hat. :)

  14. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: tomatentee 14.03.18 - 22:03

    Warum zur hölle braucht man dazu ein package? oO

    x="hallo"
    while(x.length<18) {x+="."}

    ???

  15. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: traxanos 14.03.18 - 22:15

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Das eigentliche Problem sind nicht GIT, SVN, .DS_Store und co., sondern
    > falsch konfigurierte Server UND Admins, die sich solchen Gefahren nicht
    > bewusst sind, aber bewusst sein sollten...

    Nein das ist keine Aufgabe des Admins! Dieser hat nicht zu entscheiden was ausgeliefert wird und was nicht! Das ist der Aufgabe des Anwendungsentwicklers. Nur dieser kann entscheiden was benötigen wird und was nicht. Und nur weil eine Datei mit einem Punkt anfängt ist es nicht per se etwas was nicht ausgeliefert werden darf.

    Lets Encrypt wurde schon als Beispiel genannt.

    Es ist Ganz einfach -> In öffentlichen Ordner hat einfach keine Datei zu suchen die nicht ausgeliefert werden darf - Punkt! Dazu gehören auch z.B. Dateien mit Secrets wie eine config.inc.php.

    Das ist genau so, dass kein interner Service (z.B. Memcache oder PostgreSQL) an einer öffentlichen IP-Adresse gebunden ist, bzw. nicht aus dem Internet erreichbar ist. Das wiederum ist die Aufgabe eines Admins!

  16. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: SITDnow 15.03.18 - 18:03

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Warum zur hölle braucht man dazu ein package? oO
    >
    > x="hallo"
    > while(x.length<18) {x+="."}
    >
    > ???


    Warum zur Hölle braucht man dazu eine Schleife - schau dir mal String.prototype.repeat an ;)

  17. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: freebyte 22.03.18 - 13:56

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Warum zur hölle braucht man dazu ein package? oO
    >
    > x="hallo"
    > while(x.length<18) {x+="."}

    (Zu) viele Entwickler unterliegen dem Irrglauben, dass nicht sichtbarer Code ganz automagisch schneller und ressourcenschonender ist als wenn man es "ausgeschrieben" im Hauptprogramm hat.

    Und deine Variante erzeugt im Ernstfall 18 Kopien für die GC - besser die Füllänge ermitteln und im Paket anhängen ;)

    fb

  18. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: quark2017 23.03.18 - 00:06

    traxanos schrieb:
    --------------------------------------------------------------------------------
    > Xiut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Nein das ist keine Aufgabe des Admins! Dieser hat nicht zu entscheiden was
    > ausgeliefert wird und was nicht! Das ist der Aufgabe des
    > Anwendungsentwicklers. Nur dieser kann entscheiden was benötigen wird und
    > was nicht. Und nur weil eine Datei mit einem Punkt anfängt ist es nicht per
    > se etwas was nicht ausgeliefert werden darf.

    Ja ja, und was sagt die Praxis?

    letsencrypt fällt wiederum unter das Aufgabengebiet des Admins!
    Dieser kann für solche Ordner eine entsprechende Ausnahme für dot-Dateien einrichten.

    Mit deiner Einstellung, leben wir in einer heilen Welt, in der jeder Beteiligte alle Aspekte des Systems kennt - NICHT! So ein 0815-Webentwickler hat nunmal keine Ahnung, dass Dateien, die auf dem eigenen Rechner "unsichtbar" sind, plötzlich vom Webserver ausgeliefert werden.

    Anders herum. Wenn du meinst, ein Admin solle den Webserver in der Default-Konfiguration betreiben .... wozu dann noch einen Admin beschäftigen?
    Software installieren (mit den default Einstellungen) kann ja jeder Webentwickler.

    Die Lösung ist: der Admin wird verdammt nochmal dafür bezahlt, solche Sicherheitsrisiken mit geeigneter Konfiguration zu entschärfen!



    1 mal bearbeitet, zuletzt am 23.03.18 00:09 durch quark2017.

  19. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: sori 15.05.18 - 23:32

    (entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...)

    Was ich hier sehe ist viel Fachwissen. Gibt es evtl. einen Guide o.ä., den ich als "werdenden Webentwickler" lesen soll? Etwas, das man mir empfehlen kann, damit genau solche Sachen nicht passieren können?

    Vielen Dank.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Habermaass GmbH, Bad Rodach bei Coburg
  2. Landwirtschaftliche Rentenbank, Frankfurt am Main
  3. Controlware GmbH, Ingolstadt
  4. Bosch Gruppe, Stuttgart-Feuerbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 31,99€
  2. 59€ mit Vorbesteller-Preisgarantie (Release 28.09.)
  3. 4,99€
  4. 33,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

  1. Telefónica: 5G-Ausbau würde "uns rund 76 Milliarden Euro kosten"
    Telefónica
    5G-Ausbau würde "uns rund 76 Milliarden Euro kosten"

    Laut Berechnungen der Telefónica wäre ein breiter 5G-Ausbau mit den bisher diskutierten Frequenzen praktisch unbezahlbar. In Deutschland wären dafür über 200.000 Mobilfunkstandorte erforderlich.

  2. Bundesnetzagentur: Verbraucherzentrale sieht Funklöcher bei 5G vorprogrammiert
    Bundesnetzagentur
    Verbraucherzentrale sieht Funklöcher bei 5G vorprogrammiert

    Der Verbraucherzentrale Bundesverband kritisiert, dass die ländlichen Regionen schlecht mit 5G versorgt werden sollen. Die Versprechungen von ruckelfreiem Surfen und weniger Funklöchern könnten so nicht eingehalten werden

  3. Microsoft: In der Data Box erreichen Daten die Azure-Cloud per Post
    Microsoft
    In der Data Box erreichen Daten die Azure-Cloud per Post

    Microsoft erweitert sein Data-Box-Angebot um eine SSD und einen 1-Petabyte-Kasten. Kunden können auf den Datenträgern ihre Dateien speichern, verschlüsseln und per Post an Microsoft senden. Zwei weitere Systeme bringen die Datenmigration in die Cloud auch online voran.


  1. 19:29

  2. 18:44

  3. 18:07

  4. 17:30

  5. 17:10

  6. 16:50

  7. 16:26

  8. 16:05