Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

.GIT, .DS_Store,.. auf Webservern

  1. Thema

Neues Thema Ansicht wechseln


  1. .GIT, .DS_Store,.. auf Webservern

    Autor: elgooG 14.03.18 - 10:54

    Das eigentliche Problem ist doch nicht, dass die Dateien sensible Daten enthalten könnten, sondern, dass diese rein gar nichts auf Webservern verloren haben. Jeder der mit seinem Gerät umgehen kann, weiß davon und schließt sie schlicht und einfach beim Deployment aus. Ein saubereres Deployment-Paket sollte ja das mindeste sein, was man zustande bringen können müsste.

    Im Grunde ist es das selbe Problem wie mit den GIT- oder SVN-Verzeichnissen auf Webservern, die nebenbei deutlich mehr Probleme bereiten.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 14.03.18 10:55 durch elgooG.

  2. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: dabbes 14.03.18 - 10:59

    Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der King schlechthin, der hat auf git auf dem Webserver bestanden.

    Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit Begriffen wie "deployen" brauch ich dem nicht zu kommen.

    Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass ICH NIEMALS arbeitslos sein werde.

  3. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: fuzzy 14.03.18 - 11:03

    Git auf dem Webserver ist überhaupt kein Problem. Man hat halt einfach nicht das .git-Verzeichnis im Webroot, Ende der Geschichte.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  4. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: My1 14.03.18 - 11:04

    es wäre ja zumindest schonmal hilfreich wenn nicht jede bescheuerte zip die in apple erstellt wird diesen müll enthält.

    Asperger inside(tm)

  5. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: dabbes 14.03.18 - 11:24

    Und genau das war das Problem was er einfach nicht verstehen wollte.

  6. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: quark2017 14.03.18 - 11:34

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Git auf dem Webserver ist überhaupt kein Problem. Man hat halt einfach
    > nicht das .git-Verzeichnis im Webroot, Ende der Geschichte.

    Sehe ich auch so!
    Ich musste diese Lösung in Low-Budget-Projekten auch schon mal fahren.

    Des Weiteren ist aber auch bedenklich, dass dot-Dateien vom Webserver ausgeliefert werden. Ich kenne keinen sinnvollen Anwendungsfall dafür, daher liefern meine Webserver für solche Dateien ein 404.

    Man möge mich korrigieren ;-)

  7. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: Xiut 14.03.18 - 11:34

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der
    > King schlechthin, der hat auf git auf dem Webserver bestanden.
    >
    > Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit
    > Begriffen wie "deployen" brauch ich dem nicht zu kommen.
    >
    > Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass
    > ICH NIEMALS arbeitslos sein werde.

    Also ich deploye mehrere Projekte per GIT, was auch super funktioniert und absolut kein Problem ist...

    Zum einen dürfte ein normaler Webserver keine versteckten Ordner und auch Dateien mit . am Anfang ausliefern und zum anderen liegt das Repository eben nicht im Document-Root, sondern außerhalb und die Änderungen werden per entsprechenden Hook einfach an die richtige Stelle im Document-Root geschrieben usw.

    Das eigentliche Problem sind nicht GIT, SVN, .DS_Store und co., sondern falsch konfigurierte Server UND Admins, die sich solchen Gefahren nicht bewusst sind, aber bewusst sein sollten...

    Mich persönlich würde es schon richtig nerven, wenn mir solche Dateien den Document-Root zumüllen. Da haben Dateien etwas zu suchen, die wirklich dort gebraucht werden.

  8. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: anonymer.root 14.03.18 - 11:56

    Bei Low-Budget Projekten ist die einzige Alternative Copy-und-Paste per WinSCP, daher lobe ich mir dort einfaches Deployment via GIT. Push in ein Verzeichnis ausserhalb von htdocs, bspw. /var/git - dort per Post-Receive hook einfache Deployment-Tasks (Dateien kopieren, cache leeren, Datenbank aktualisieren) durchführen ist für kleine Projekte eine praxisnahe Lösung.

    Wenn der Kunde es mir bezahlen würde, würde ich auch lieber mit Jenkins oder Bamboo eine richtige Pipeline aufbauen, den Aufwand zahlt der Kunde halt manchmal nicht.

  9. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: elgooG 14.03.18 - 12:25

    Das ist ja auch etwas völlig anderes. Entweder wird der Zugriff explizit verweigert, oder .git landet zumindest nicht im Webroot. Ob es sich dann um ein sauberes Deployment handelt oder nicht, darüber lässt sich streiten, aber die Sicherheit ist gewährleistet.

    Nur das Problem ist, dass es offenbar extrem oft auftritt, dass den Verantwortlichen erst gar nicht bewusst ist, was sie da überhaupt machen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  10. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: TheUnichi 14.03.18 - 15:53

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Erzähl das mal den "Super-Experten". Letztens einen gehabt, der war ja der
    > King schlechthin, der hat auf git auf dem Webserver bestanden.
    >
    > Das sagt mir schon, dass der von git überhaupt keine Ahnung hat und mit
    > Begriffen wie "deployen" brauch ich dem nicht zu kommen.
    >
    > Aber ist OK, bei der Masse an solchen "Experten" weiß ich zu 1000%, dass
    > ICH NIEMALS arbeitslos sein werde.

    Ist doch gar kein Problem. Entweder alle .-Dateien/Ordner sperren oder einfach .git nicht in den Web-Root. Ich deploye alle Seiten direkt mit Git, weil es darauf hinaus läuft, dass ein Update meiner gesamten Produktiv-Applikation nicht mehr als zwei commands benötigt (3, wenn ich den Cache noch leere)

    Alles andere ist doch eine riesige rsync-Orgie die immer wieder angepasst werden muss, wenn sich die Struktur mal marginal ändert.

  11. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: MarioWario 14.03.18 - 19:37

    Im Prinzip ist den Leuten nicht mehr zu helfen, holen sich IFTTT ins Haus , irgendwelche Skript-Meisterwerke wie 'right-padding' aus ganz exklusiven Kollektionen, usw.

    Sehen - Verstehen - Anwenden

  12. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: redmord 14.03.18 - 20:44

    Let's Encrypt: https://github.com/ietf-wg-acme/acme/

  13. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: redmord 14.03.18 - 20:51

    https://www.npmjs.com/package/right-pad

    10k downloads am Tag. Waaahh!?

    Scheint der einzige zu sein, der es drauf hat. :)

  14. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: tomatentee 14.03.18 - 22:03

    Warum zur hölle braucht man dazu ein package? oO

    x="hallo"
    while(x.length<18) {x+="."}

    ???

  15. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: traxanos 14.03.18 - 22:15

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Das eigentliche Problem sind nicht GIT, SVN, .DS_Store und co., sondern
    > falsch konfigurierte Server UND Admins, die sich solchen Gefahren nicht
    > bewusst sind, aber bewusst sein sollten...

    Nein das ist keine Aufgabe des Admins! Dieser hat nicht zu entscheiden was ausgeliefert wird und was nicht! Das ist der Aufgabe des Anwendungsentwicklers. Nur dieser kann entscheiden was benötigen wird und was nicht. Und nur weil eine Datei mit einem Punkt anfängt ist es nicht per se etwas was nicht ausgeliefert werden darf.

    Lets Encrypt wurde schon als Beispiel genannt.

    Es ist Ganz einfach -> In öffentlichen Ordner hat einfach keine Datei zu suchen die nicht ausgeliefert werden darf - Punkt! Dazu gehören auch z.B. Dateien mit Secrets wie eine config.inc.php.

    Das ist genau so, dass kein interner Service (z.B. Memcache oder PostgreSQL) an einer öffentlichen IP-Adresse gebunden ist, bzw. nicht aus dem Internet erreichbar ist. Das wiederum ist die Aufgabe eines Admins!

  16. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: SITDnow 15.03.18 - 18:03

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Warum zur hölle braucht man dazu ein package? oO
    >
    > x="hallo"
    > while(x.length<18) {x+="."}
    >
    > ???


    Warum zur Hölle braucht man dazu eine Schleife - schau dir mal String.prototype.repeat an ;)

  17. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: freebyte 22.03.18 - 13:56

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Warum zur hölle braucht man dazu ein package? oO
    >
    > x="hallo"
    > while(x.length<18) {x+="."}

    (Zu) viele Entwickler unterliegen dem Irrglauben, dass nicht sichtbarer Code ganz automagisch schneller und ressourcenschonender ist als wenn man es "ausgeschrieben" im Hauptprogramm hat.

    Und deine Variante erzeugt im Ernstfall 18 Kopien für die GC - besser die Füllänge ermitteln und im Paket anhängen ;)

    fb

  18. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: quark2017 23.03.18 - 00:06

    traxanos schrieb:
    --------------------------------------------------------------------------------
    > Xiut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Nein das ist keine Aufgabe des Admins! Dieser hat nicht zu entscheiden was
    > ausgeliefert wird und was nicht! Das ist der Aufgabe des
    > Anwendungsentwicklers. Nur dieser kann entscheiden was benötigen wird und
    > was nicht. Und nur weil eine Datei mit einem Punkt anfängt ist es nicht per
    > se etwas was nicht ausgeliefert werden darf.

    Ja ja, und was sagt die Praxis?

    letsencrypt fällt wiederum unter das Aufgabengebiet des Admins!
    Dieser kann für solche Ordner eine entsprechende Ausnahme für dot-Dateien einrichten.

    Mit deiner Einstellung, leben wir in einer heilen Welt, in der jeder Beteiligte alle Aspekte des Systems kennt - NICHT! So ein 0815-Webentwickler hat nunmal keine Ahnung, dass Dateien, die auf dem eigenen Rechner "unsichtbar" sind, plötzlich vom Webserver ausgeliefert werden.

    Anders herum. Wenn du meinst, ein Admin solle den Webserver in der Default-Konfiguration betreiben .... wozu dann noch einen Admin beschäftigen?
    Software installieren (mit den default Einstellungen) kann ja jeder Webentwickler.

    Die Lösung ist: der Admin wird verdammt nochmal dafür bezahlt, solche Sicherheitsrisiken mit geeigneter Konfiguration zu entschärfen!



    1 mal bearbeitet, zuletzt am 23.03.18 00:09 durch quark2017.

  19. Re: .GIT, .DS_Store,.. auf Webservern

    Autor: sori 15.05.18 - 23:32

    (entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...)

    Was ich hier sehe ist viel Fachwissen. Gibt es evtl. einen Guide o.ä., den ich als "werdenden Webentwickler" lesen soll? Etwas, das man mir empfehlen kann, damit genau solche Sachen nicht passieren können?

    Vielen Dank.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Offenbach
  2. SSI SCHÄFER Automation GmbH, Giebelstadt
  3. dSPACE GmbH, Paderborn
  4. VPV Versicherungen, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

  1. Neue API-Lücke: Google+ macht noch schneller zu
    Neue API-Lücke
    Google+ macht noch schneller zu

    Googles Mutterkonzern Alphabet macht das soziale Netzwerk Google+ aufgrund eines neu entdeckten Fehlers in der API noch schneller zu als ursprünglich geplant. Nun soll schon im April 2019 Schluss sein.

  2. Überschallauto: Rekordfahrzeug Bloodhound SSC wird verkauft
    Überschallauto
    Rekordfahrzeug Bloodhound SSC wird verkauft

    Es sollte schneller fahren als jedes Auto zuvor und sogar schneller sein als der Schall. Es war aber langsamer als die Pleite: Das britische Bloodhound Project ist insolvent.

  3. Capcom: Der Hexer jagt in Monster Hunter World
    Capcom
    Der Hexer jagt in Monster Hunter World

    Gegen Ende 2019 erscheint eine große Erweiterung namens Iceborne für Monster Hunter World, ein paar Monate davor tritt der Hexenmeister an. Die Hauptfigur aus The Witcher 3 soll mit seiner typischen Mischung aus Schwertkampf und Magie auf die Jagd gehen.


  1. 21:00

  2. 18:28

  3. 18:01

  4. 17:41

  5. 16:43

  6. 15:45

  7. 15:30

  8. 15:15