1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

npm module

  1. Thema

Neues Thema Ansicht wechseln


  1. npm module

    Autor: sino.boeckmann 14.03.18 - 14:28

    Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die Dateien eh nicht ausliefert, habe ich folgendes entdecken können:

    ./node_modules/nanomatch/lib/.DS_Store
    ./node_modules/micromatch/lib/.DS_Store
    ./node_modules/ws/lib/.DS_Store
    ./node_modules/extglob/lib/.DS_Store
    ./node_modules/braces/lib/.DS_Store

    Da holt man sich halt wieder die Raketenwürmer ins Haus.
    Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die .gitignore etwas erweitert.

  2. Re: npm module

    Autor: sino.boeckmann 14.03.18 - 14:35

    Kurze Recherche:

    a) die Daten könnten lustigerweise durch mich enstanden sein :o
    b) zumindest bei websockets/ws konnte in der .gitignore nicht sehen, dass dort .DS_Store ignoriert werden sollen

    https://github.com/websockets/ws/blob/master/.gitignore

  3. Re: npm module

    Autor: lottikarotti 14.03.18 - 15:31

    ¯\_(ツ)_/¯

    R.I.P. Fisch :-(

  4. Re: npm module

    Autor: TheUnichi 14.03.18 - 15:50

    sino.boeckmann schrieb:
    --------------------------------------------------------------------------------
    > Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die
    > Dateien eh nicht ausliefert, habe ich folgendes entdecken können:
    >
    > ./node_modules/nanomatch/lib/.DS_Store
    > ./node_modules/micromatch/lib/.DS_Store
    > ./node_modules/ws/lib/.DS_Store
    > ./node_modules/extglob/lib/.DS_Store
    > ./node_modules/braces/lib/.DS_Store
    >
    > Da holt man sich halt wieder die Raketenwürmer ins Haus.
    > Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die
    > .gitignore etwas erweitert.

    Wie in anderen Kommentaren beschrieben, blockier doch einfach sämtliche .-Dateien. Es geht ja nur um den Zugriff von außen und ich wüsste auf Anhieb keine Konvention, die .-Dateien öffentlich machen möchte.
    Dazu am besten (wenn node_modules/ und z.B. vendor/ nun wirklich in deinem Web-Root liegen) auch den node_modules-Ordner und den vendor-Ordner sperren. Wenn dein JS da direkten Zugriff drauf benötigt, nutz sowas wie Webpack und bundle es, dann braucht es auch das nicht mehr.

  5. Re: npm module

    Autor: der-dicky 14.03.18 - 20:16

    Das gehört ja auch nicht in die .gitignore des Projekts.

  6. Re: npm module

    Autor: der-dicky 14.03.18 - 20:20

    https://tools.ietf.org/html/rfc5785 ist dir nicht bekannt?
    Das ist praktisch jedem spätestens schon mal begegnet der sich mit LetsEncrypt beschäftigt.

  7. Re: npm module

    Autor: redmord 14.03.18 - 20:37

    In die .gitignore gehört alles, was nicht zum Projekt gehört und dennoch rumliegt.

  8. Re: npm module

    Autor: der-dicky 14.03.18 - 20:45

    in die .gitignore des projekts gehört alles was vom projekt kommt aber nicht eingecheckt werden soll.
    Temp-files aus build-systemen, dependencies, kompilate.

    in die globale .gitignore des users gehört alles was seine tools, die nicht projektspezifisch sind ablegen was nicht eingecheckt werden soll.

    Beispiel:
    node_modules
    .sass_cache
    target
    dist
    vendor

    das wären sache die in die .gitignore vom projekt gehöhren, denn "das projekt" weiß was es ablegt aber nicht eingecheckt werden soll.

    .ds_store
    thumbs.db
    *.swp
    .idea
    *~

    das wären sachen die in die globale .gitignore gehöhren.
    Woher soll das Projekt wissen mit welchen tools ein Potentieller entwickler arbeitet, und warum sollte diese arbeit für jedes projekt wiederhohlt werden?

  9. Re: npm module

    Autor: redmord 14.03.18 - 20:54

    Dem möchte ich nicht widersprechen ... in einer idealen Welt. ;-)

    Ich hab nichts dagegen, wenn die ignore files wie Müllhalden aussehen, wenn dafür das Projekt sauber bleibt.

  10. Re: npm module

    Autor: tomatentee 14.03.18 - 21:54

    Grundsätzlich korrekt.

    Allerdings schadet es ja auch nichts, wenn das Projekt die häufigsten Mülldateien auch nochmal in der gitignore hat ;)

  11. Re: npm module

    Autor: zZz 17.03.18 - 21:13

    der-dicky schrieb:
    --------------------------------------------------------------------------------
    > .ds_store
    > thumbs.db
    > *.swp
    > .idea
    > *~
    >
    > das wären sachen die in die globale .gitignore gehöhren.

    Sehe ich genauso!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hochschule für Technik Stuttgart, Stuttgart
  2. über experteer GmbH, Berlin
  3. WEINMANN Emergency Medical Technology GmbH & Co. KG, Hamburg
  4. DENIC eG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 279€ (Bestpreis!)
  2. 1.789€
  3. 73,29€ (Bestpreis!)
  4. (u. a. Corsair Hydro X Series XD3 RGB Pumpen/Ausgleichsbehälter-Kombination für 140,10€, Roccat...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberbunker-Prozess: Die Darknet-Schaltzentrale über den Weinbergen
Cyberbunker-Prozess
Die Darknet-Schaltzentrale über den Weinbergen

Am Montag beginnt der Prozess gegen die Cyberbunker-Betreiber von der Mittelmosel. Dahinter verbirgt sich eine wilde Geschichte von "bunkergeilen" Internetanarchos bis zu polizeilich gefakten Darknet-Seiten.
Eine Recherche von Friedhelm Greis

  1. Darkweb 179 mutmaßliche Darknet-Händler festgenommen
  2. Marktplatz im Darknet Mutmaßliche Betreiber des Wall Street Market angeklagt
  3. Illegaler Onlinehandel Admin des Darknet-Shops Fraudsters muss hinter Gitter

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

  1. Kirin 9000: Huaweis 5-nm-Chip läuft mit 3,13 GHz
    Kirin 9000
    Huaweis 5-nm-Chip läuft mit 3,13 GHz

    Dank hohem Takt und integriertem 5G-Modem soll der Kirin 9000 sehr flott sein, das 5-nm-Verfahren sorgt für die nötige Effizienz.

  2. Rivada Networks: Trump will Parteifreunden 5G-Frequenzen verschaffen
    Rivada Networks
    Trump will Parteifreunden 5G-Frequenzen verschaffen

    Laut Informationen von CNN soll Donald Trump Republikanern helfen, die in Rivada Networks investiert haben, um ein nationales 5G-Netz zu erichten.

  3. 2FA deaktiviert: Trumps Twitter-Account wieder gehackt
    2FA deaktiviert
    Trumps Twitter-Account wieder gehackt

    Am Freitag machten sich Medien noch über einen Tweet von US-Präsident Trump lustig. Dahinter könnte ein Hacker aus den Niederlanden gesteckt haben.


  1. 19:34

  2. 19:19

  3. 19:11

  4. 17:36

  5. 17:17

  6. 17:00

  7. 16:42

  8. 16:17