Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

npm module

  1. Thema

Neues Thema Ansicht wechseln


  1. npm module

    Autor: sino.boeckmann 14.03.18 - 14:28

    Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die Dateien eh nicht ausliefert, habe ich folgendes entdecken können:

    ./node_modules/nanomatch/lib/.DS_Store
    ./node_modules/micromatch/lib/.DS_Store
    ./node_modules/ws/lib/.DS_Store
    ./node_modules/extglob/lib/.DS_Store
    ./node_modules/braces/lib/.DS_Store

    Da holt man sich halt wieder die Raketenwürmer ins Haus.
    Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die .gitignore etwas erweitert.

  2. Re: npm module

    Autor: sino.boeckmann 14.03.18 - 14:35

    Kurze Recherche:

    a) die Daten könnten lustigerweise durch mich enstanden sein :o
    b) zumindest bei websockets/ws konnte in der .gitignore nicht sehen, dass dort .DS_Store ignoriert werden sollen

    https://github.com/websockets/ws/blob/master/.gitignore

  3. Re: npm module

    Autor: lottikarotti 14.03.18 - 15:31

    ¯\_(ツ)_/¯

    R.I.P. Fisch :-(

  4. Re: npm module

    Autor: TheUnichi 14.03.18 - 15:50

    sino.boeckmann schrieb:
    --------------------------------------------------------------------------------
    > Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die
    > Dateien eh nicht ausliefert, habe ich folgendes entdecken können:
    >
    > ./node_modules/nanomatch/lib/.DS_Store
    > ./node_modules/micromatch/lib/.DS_Store
    > ./node_modules/ws/lib/.DS_Store
    > ./node_modules/extglob/lib/.DS_Store
    > ./node_modules/braces/lib/.DS_Store
    >
    > Da holt man sich halt wieder die Raketenwürmer ins Haus.
    > Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die
    > .gitignore etwas erweitert.

    Wie in anderen Kommentaren beschrieben, blockier doch einfach sämtliche .-Dateien. Es geht ja nur um den Zugriff von außen und ich wüsste auf Anhieb keine Konvention, die .-Dateien öffentlich machen möchte.
    Dazu am besten (wenn node_modules/ und z.B. vendor/ nun wirklich in deinem Web-Root liegen) auch den node_modules-Ordner und den vendor-Ordner sperren. Wenn dein JS da direkten Zugriff drauf benötigt, nutz sowas wie Webpack und bundle es, dann braucht es auch das nicht mehr.

  5. Re: npm module

    Autor: der-dicky 14.03.18 - 20:16

    Das gehört ja auch nicht in die .gitignore des Projekts.

  6. Re: npm module

    Autor: der-dicky 14.03.18 - 20:20

    https://tools.ietf.org/html/rfc5785 ist dir nicht bekannt?
    Das ist praktisch jedem spätestens schon mal begegnet der sich mit LetsEncrypt beschäftigt.

  7. Re: npm module

    Autor: redmord 14.03.18 - 20:37

    In die .gitignore gehört alles, was nicht zum Projekt gehört und dennoch rumliegt.

  8. Re: npm module

    Autor: der-dicky 14.03.18 - 20:45

    in die .gitignore des projekts gehört alles was vom projekt kommt aber nicht eingecheckt werden soll.
    Temp-files aus build-systemen, dependencies, kompilate.

    in die globale .gitignore des users gehört alles was seine tools, die nicht projektspezifisch sind ablegen was nicht eingecheckt werden soll.

    Beispiel:
    node_modules
    .sass_cache
    target
    dist
    vendor

    das wären sache die in die .gitignore vom projekt gehöhren, denn "das projekt" weiß was es ablegt aber nicht eingecheckt werden soll.

    .ds_store
    thumbs.db
    *.swp
    .idea
    *~

    das wären sachen die in die globale .gitignore gehöhren.
    Woher soll das Projekt wissen mit welchen tools ein Potentieller entwickler arbeitet, und warum sollte diese arbeit für jedes projekt wiederhohlt werden?

  9. Re: npm module

    Autor: redmord 14.03.18 - 20:54

    Dem möchte ich nicht widersprechen ... in einer idealen Welt. ;-)

    Ich hab nichts dagegen, wenn die ignore files wie Müllhalden aussehen, wenn dafür das Projekt sauber bleibt.

  10. Re: npm module

    Autor: tomatentee 14.03.18 - 21:54

    Grundsätzlich korrekt.

    Allerdings schadet es ja auch nichts, wenn das Projekt die häufigsten Mülldateien auch nochmal in der gitignore hat ;)

  11. Re: npm module

    Autor: zZz 17.03.18 - 21:13

    der-dicky schrieb:
    --------------------------------------------------------------------------------
    > .ds_store
    > thumbs.db
    > *.swp
    > .idea
    > *~
    >
    > das wären sachen die in die globale .gitignore gehöhren.

    Sehe ich genauso!

Neues Thema Ansicht wechseln


Dieses Thema wurde geschlossen.

Stellenmarkt
  1. Personalwerk Holding GmbH, Wiesbaden
  2. ENERCON GmbH, Bremen, Aurich, Magdeburg, Kiel
  3. adesso AG, verschiedene Einsatzorte
  4. Robert Bosch GmbH, Reutlingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 39,99€ statt 59,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
    Kreuzschifffahrt
    Wie Brennstoffzellen Schiffe sauberer machen

    Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
    Von Werner Pluta

    1. Roboat MIT-Forscher drucken autonom fahrende Boote
    2. Elektromobilität Norwegen baut mehr Elektrofähren
    3. Elektromobilität Norwegische Elektrofähre ist sauber und günstig

    Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
    Sonnet eGFX Box 650 im Test
    Wenn die Vega 64 am Thinkpad rechnet

    Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Razer Core X eGPU-Box kostet 300 Euro
    2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
    3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

    1. Dying Light 2: Stadtentwicklung mit Schwung
      Dying Light 2
      Stadtentwicklung mit Schwung

      E3 2018 Klettern und kraxeln im Parcours-Stil, dazu tolle Grafik und eine verschachtelte Handlung mit sichtbaren Auswirkungen auf eine riesige Stadt: Das polnische Entwicklerstudio Techland hat für Dying Light 2 große Pläne.

    2. DNS Rebinding: Google Home verrät, wo du wohnst
      DNS Rebinding
      Google Home verrät, wo du wohnst

      Besitzer eines Google Home oder Chromecast können von Webseiten auf wenige Meter genau lokalisiert werden. Hintergrund des Angriffs ist eine Technik namens DNS Rebinding.

    3. Projekthoster: Teahub will gemeinnützige Alternative zu Github erstellen
      Projekthoster
      Teahub will gemeinnützige Alternative zu Github erstellen

      Das Projekt Teahub will eine gemeinnützige Organisation gründen und so mit seiner gleichnamigen Plattform zahlreichen Open-Source-Projekten eine neue Heimat bieten. Der Dienst ist als Alternative zu kommerziellen Hostern wie etwa Github gedacht.


    1. 17:54

    2. 16:21

    3. 14:03

    4. 13:50

    5. 13:31

    6. 13:19

    7. 13:00

    8. 12:53