Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

npm module

  1. Thema

Neues Thema Ansicht wechseln


  1. npm module

    Autor: sino.boeckmann 14.03.18 - 14:28

    Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die Dateien eh nicht ausliefert, habe ich folgendes entdecken können:

    ./node_modules/nanomatch/lib/.DS_Store
    ./node_modules/micromatch/lib/.DS_Store
    ./node_modules/ws/lib/.DS_Store
    ./node_modules/extglob/lib/.DS_Store
    ./node_modules/braces/lib/.DS_Store

    Da holt man sich halt wieder die Raketenwürmer ins Haus.
    Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die .gitignore etwas erweitert.

  2. Re: npm module

    Autor: sino.boeckmann 14.03.18 - 14:35

    Kurze Recherche:

    a) die Daten könnten lustigerweise durch mich enstanden sein :o
    b) zumindest bei websockets/ws konnte in der .gitignore nicht sehen, dass dort .DS_Store ignoriert werden sollen

    https://github.com/websockets/ws/blob/master/.gitignore

  3. Re: npm module

    Autor: lottikarotti 14.03.18 - 15:31

    ¯\_(ツ)_/¯

    R.I.P. Fisch :-(

  4. Re: npm module

    Autor: TheUnichi 14.03.18 - 15:50

    sino.boeckmann schrieb:
    --------------------------------------------------------------------------------
    > Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die
    > Dateien eh nicht ausliefert, habe ich folgendes entdecken können:
    >
    > ./node_modules/nanomatch/lib/.DS_Store
    > ./node_modules/micromatch/lib/.DS_Store
    > ./node_modules/ws/lib/.DS_Store
    > ./node_modules/extglob/lib/.DS_Store
    > ./node_modules/braces/lib/.DS_Store
    >
    > Da holt man sich halt wieder die Raketenwürmer ins Haus.
    > Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die
    > .gitignore etwas erweitert.

    Wie in anderen Kommentaren beschrieben, blockier doch einfach sämtliche .-Dateien. Es geht ja nur um den Zugriff von außen und ich wüsste auf Anhieb keine Konvention, die .-Dateien öffentlich machen möchte.
    Dazu am besten (wenn node_modules/ und z.B. vendor/ nun wirklich in deinem Web-Root liegen) auch den node_modules-Ordner und den vendor-Ordner sperren. Wenn dein JS da direkten Zugriff drauf benötigt, nutz sowas wie Webpack und bundle es, dann braucht es auch das nicht mehr.

  5. Re: npm module

    Autor: der-dicky 14.03.18 - 20:16

    Das gehört ja auch nicht in die .gitignore des Projekts.

  6. Re: npm module

    Autor: der-dicky 14.03.18 - 20:20

    https://tools.ietf.org/html/rfc5785 ist dir nicht bekannt?
    Das ist praktisch jedem spätestens schon mal begegnet der sich mit LetsEncrypt beschäftigt.

  7. Re: npm module

    Autor: redmord 14.03.18 - 20:37

    In die .gitignore gehört alles, was nicht zum Projekt gehört und dennoch rumliegt.

  8. Re: npm module

    Autor: der-dicky 14.03.18 - 20:45

    in die .gitignore des projekts gehört alles was vom projekt kommt aber nicht eingecheckt werden soll.
    Temp-files aus build-systemen, dependencies, kompilate.

    in die globale .gitignore des users gehört alles was seine tools, die nicht projektspezifisch sind ablegen was nicht eingecheckt werden soll.

    Beispiel:
    node_modules
    .sass_cache
    target
    dist
    vendor

    das wären sache die in die .gitignore vom projekt gehöhren, denn "das projekt" weiß was es ablegt aber nicht eingecheckt werden soll.

    .ds_store
    thumbs.db
    *.swp
    .idea
    *~

    das wären sachen die in die globale .gitignore gehöhren.
    Woher soll das Projekt wissen mit welchen tools ein Potentieller entwickler arbeitet, und warum sollte diese arbeit für jedes projekt wiederhohlt werden?

  9. Re: npm module

    Autor: redmord 14.03.18 - 20:54

    Dem möchte ich nicht widersprechen ... in einer idealen Welt. ;-)

    Ich hab nichts dagegen, wenn die ignore files wie Müllhalden aussehen, wenn dafür das Projekt sauber bleibt.

  10. Re: npm module

    Autor: tomatentee 14.03.18 - 21:54

    Grundsätzlich korrekt.

    Allerdings schadet es ja auch nichts, wenn das Projekt die häufigsten Mülldateien auch nochmal in der gitignore hat ;)

  11. Re: npm module

    Autor: zZz 17.03.18 - 21:13

    der-dicky schrieb:
    --------------------------------------------------------------------------------
    > .ds_store
    > thumbs.db
    > *.swp
    > .idea
    > *~
    >
    > das wären sachen die in die globale .gitignore gehöhren.

    Sehe ich genauso!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. TeamBank AG, Nürnberg
  2. GK Software SE, Sankt Ingbert, Köln, Schöneck
  3. SCHOTT AG, Mainz
  4. BRZ Deutschland GmbH, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  2. 19,99€
  3. 24,99€
  4. 34,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
Need for Speed 3 Hot Pursuit (1998)
El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
Von Michael Wieczorek


    1. Elektroauto: Die Post darf den Streetscooter in Großserie bauen
      Elektroauto
      Die Post darf den Streetscooter in Großserie bauen

      Künftig fährt er wohl nicht mehr nur in Gelb: Die Deutsche Post hat die Zulassung erhalten, den Streetscooter Work in Großserie zu fertigen. Das soll es laut Post ermöglichen, die steigende Nachfrage nach dem Elektroauto zu befriedigen.

    2. Microsoft Surface 3: Firmware-Update nach dreieinhalb Jahren
      Microsoft Surface 3
      Firmware-Update nach dreieinhalb Jahren

      Microsoft hat ein UEFI- und Treiber-Update für das Surface 3 veröffentlicht. Aktualisiert wird das UEFI sowie WLAN- und Bluetooth-Treiber. Das ist bemerkenswert, da das Gerät inzwischen über dreieinhalb Jahre alt ist.

    3. Magic The Gathering: 75.000 US-Dollar für jeden der 32 Sammelkartenprofis
      Magic The Gathering
      75.000 US-Dollar für jeden der 32 Sammelkartenprofis

      Ein Preispool mit 10 Millionen US-Dollar plus eine Liga mit 32 Profis: Die Firmen hinter dem Sammelkartenspiel Magic: The Gathering investieren in E-Sport. Trotz hoher Summen dürfte es schwierig werden, gegen den Hauptkonkurrenten Hearthstone zu bestehen.


    1. 11:19

    2. 11:04

    3. 10:49

    4. 10:11

    5. 09:20

    6. 09:02

    7. 08:06

    8. 07:54