Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

npm module

  1. Thema

Neues Thema Ansicht wechseln


  1. npm module

    Autor: sino.boeckmann 14.03.18 - 14:28

    Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die Dateien eh nicht ausliefert, habe ich folgendes entdecken können:

    ./node_modules/nanomatch/lib/.DS_Store
    ./node_modules/micromatch/lib/.DS_Store
    ./node_modules/ws/lib/.DS_Store
    ./node_modules/extglob/lib/.DS_Store
    ./node_modules/braces/lib/.DS_Store

    Da holt man sich halt wieder die Raketenwürmer ins Haus.
    Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die .gitignore etwas erweitert.

  2. Re: npm module

    Autor: sino.boeckmann 14.03.18 - 14:35

    Kurze Recherche:

    a) die Daten könnten lustigerweise durch mich enstanden sein :o
    b) zumindest bei websockets/ws konnte in der .gitignore nicht sehen, dass dort .DS_Store ignoriert werden sollen

    https://github.com/websockets/ws/blob/master/.gitignore

  3. Re: npm module

    Autor: lottikarotti 14.03.18 - 15:31

    ¯\_(ツ)_/¯

    R.I.P. Fisch :-(

  4. Re: npm module

    Autor: TheUnichi 14.03.18 - 15:50

    sino.boeckmann schrieb:
    --------------------------------------------------------------------------------
    > Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die
    > Dateien eh nicht ausliefert, habe ich folgendes entdecken können:
    >
    > ./node_modules/nanomatch/lib/.DS_Store
    > ./node_modules/micromatch/lib/.DS_Store
    > ./node_modules/ws/lib/.DS_Store
    > ./node_modules/extglob/lib/.DS_Store
    > ./node_modules/braces/lib/.DS_Store
    >
    > Da holt man sich halt wieder die Raketenwürmer ins Haus.
    > Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die
    > .gitignore etwas erweitert.

    Wie in anderen Kommentaren beschrieben, blockier doch einfach sämtliche .-Dateien. Es geht ja nur um den Zugriff von außen und ich wüsste auf Anhieb keine Konvention, die .-Dateien öffentlich machen möchte.
    Dazu am besten (wenn node_modules/ und z.B. vendor/ nun wirklich in deinem Web-Root liegen) auch den node_modules-Ordner und den vendor-Ordner sperren. Wenn dein JS da direkten Zugriff drauf benötigt, nutz sowas wie Webpack und bundle es, dann braucht es auch das nicht mehr.

  5. Re: npm module

    Autor: der-dicky 14.03.18 - 20:16

    Das gehört ja auch nicht in die .gitignore des Projekts.

  6. Re: npm module

    Autor: der-dicky 14.03.18 - 20:20

    https://tools.ietf.org/html/rfc5785 ist dir nicht bekannt?
    Das ist praktisch jedem spätestens schon mal begegnet der sich mit LetsEncrypt beschäftigt.

  7. Re: npm module

    Autor: redmord 14.03.18 - 20:37

    In die .gitignore gehört alles, was nicht zum Projekt gehört und dennoch rumliegt.

  8. Re: npm module

    Autor: der-dicky 14.03.18 - 20:45

    in die .gitignore des projekts gehört alles was vom projekt kommt aber nicht eingecheckt werden soll.
    Temp-files aus build-systemen, dependencies, kompilate.

    in die globale .gitignore des users gehört alles was seine tools, die nicht projektspezifisch sind ablegen was nicht eingecheckt werden soll.

    Beispiel:
    node_modules
    .sass_cache
    target
    dist
    vendor

    das wären sache die in die .gitignore vom projekt gehöhren, denn "das projekt" weiß was es ablegt aber nicht eingecheckt werden soll.

    .ds_store
    thumbs.db
    *.swp
    .idea
    *~

    das wären sachen die in die globale .gitignore gehöhren.
    Woher soll das Projekt wissen mit welchen tools ein Potentieller entwickler arbeitet, und warum sollte diese arbeit für jedes projekt wiederhohlt werden?

  9. Re: npm module

    Autor: redmord 14.03.18 - 20:54

    Dem möchte ich nicht widersprechen ... in einer idealen Welt. ;-)

    Ich hab nichts dagegen, wenn die ignore files wie Müllhalden aussehen, wenn dafür das Projekt sauber bleibt.

  10. Re: npm module

    Autor: tomatentee 14.03.18 - 21:54

    Grundsätzlich korrekt.

    Allerdings schadet es ja auch nichts, wenn das Projekt die häufigsten Mülldateien auch nochmal in der gitignore hat ;)

  11. Re: npm module

    Autor: zZz 17.03.18 - 21:13

    der-dicky schrieb:
    --------------------------------------------------------------------------------
    > .ds_store
    > thumbs.db
    > *.swp
    > .idea
    > *~
    >
    > das wären sachen die in die globale .gitignore gehöhren.

    Sehe ich genauso!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, München
  2. Fraunhofer-Institut für Software- und Systemtechnik ISST, Dortmund
  3. Forschungszentrum Jülich GmbH, Jülich
  4. Bosch Gruppe, Leonberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Ni No Kuni 2 29,99€, Dark Souls 3 25,49€)
  2. 199,00€
  3. Code 100SGS3
  4. (u. a. Sicario, Bodyguard, Inception)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. EU-Urheberrecht Die verdorbene Reform

  1. Kuhhandel zu Nord Stream?: Was eine Gaspipeline mit Uploadfiltern zu tun haben könnte
    Kuhhandel zu Nord Stream?
    Was eine Gaspipeline mit Uploadfiltern zu tun haben könnte

    Schon seit Wochen gibt es Spekulationen, dass die Einigung zu Uploadfiltern zwischen Deutschland und Frankreich nicht nur etwas mit dem Urheberrecht zu tun haben könnte. Nun soll es dazu konkrete Hinweise geben.

  2. Mobiles Betriebssystem: Apple veröffentlicht iOS 12.2
    Mobiles Betriebssystem
    Apple veröffentlicht iOS 12.2

    Apple hat nach einer längeren Betaphase die finale Version von iOS 12.2 für iPhones, iPads und den iPod touch veröffentlicht. Unterstützt werden Apples Videostreamingdienst TV Plus, Apple TV Channels und Apple News Plus.

  3. Apple TV+: Apple bringt Streamingdienst mit eigenen Filmen und Serien
    Apple TV+
    Apple bringt Streamingdienst mit eigenen Filmen und Serien

    Apple steigt in den Streamingmarkt ein und will eigene Filme und Serien produzieren. Die Inhalte werden als eigenes Abomodell vermarktet. Zudem wird die TV-App von Apple überarbeitet, um Dienste der Konkurrenz einzubinden.


  1. 23:12

  2. 20:47

  3. 20:10

  4. 19:41

  5. 19:03

  6. 19:00

  7. 18:18

  8. 17:45