Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Apple-Datei auf…

npm module

  1. Thema

Neues Thema Ansicht wechseln


  1. npm module

    Autor: sino.boeckmann 14.03.18 - 14:28

    Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die Dateien eh nicht ausliefert, habe ich folgendes entdecken können:

    ./node_modules/nanomatch/lib/.DS_Store
    ./node_modules/micromatch/lib/.DS_Store
    ./node_modules/ws/lib/.DS_Store
    ./node_modules/extglob/lib/.DS_Store
    ./node_modules/braces/lib/.DS_Store

    Da holt man sich halt wieder die Raketenwürmer ins Haus.
    Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die .gitignore etwas erweitert.

  2. Re: npm module

    Autor: sino.boeckmann 14.03.18 - 14:35

    Kurze Recherche:

    a) die Daten könnten lustigerweise durch mich enstanden sein :o
    b) zumindest bei websockets/ws konnte in der .gitignore nicht sehen, dass dort .DS_Store ignoriert werden sollen

    https://github.com/websockets/ws/blob/master/.gitignore

  3. Re: npm module

    Autor: lottikarotti 14.03.18 - 15:31

    ¯\_(ツ)_/¯

    R.I.P. Fisch :-(

  4. Re: npm module

    Autor: TheUnichi 14.03.18 - 15:50

    sino.boeckmann schrieb:
    --------------------------------------------------------------------------------
    > Habe gerade mal bei mir geschaut. Abgesehen davon, dass der Webserver die
    > Dateien eh nicht ausliefert, habe ich folgendes entdecken können:
    >
    > ./node_modules/nanomatch/lib/.DS_Store
    > ./node_modules/micromatch/lib/.DS_Store
    > ./node_modules/ws/lib/.DS_Store
    > ./node_modules/extglob/lib/.DS_Store
    > ./node_modules/braces/lib/.DS_Store
    >
    > Da holt man sich halt wieder die Raketenwürmer ins Haus.
    > Werde bei den betroffenen Paketen mal ein Issue erstellen dass man die
    > .gitignore etwas erweitert.

    Wie in anderen Kommentaren beschrieben, blockier doch einfach sämtliche .-Dateien. Es geht ja nur um den Zugriff von außen und ich wüsste auf Anhieb keine Konvention, die .-Dateien öffentlich machen möchte.
    Dazu am besten (wenn node_modules/ und z.B. vendor/ nun wirklich in deinem Web-Root liegen) auch den node_modules-Ordner und den vendor-Ordner sperren. Wenn dein JS da direkten Zugriff drauf benötigt, nutz sowas wie Webpack und bundle es, dann braucht es auch das nicht mehr.

  5. Re: npm module

    Autor: der-dicky 14.03.18 - 20:16

    Das gehört ja auch nicht in die .gitignore des Projekts.

  6. Re: npm module

    Autor: der-dicky 14.03.18 - 20:20

    https://tools.ietf.org/html/rfc5785 ist dir nicht bekannt?
    Das ist praktisch jedem spätestens schon mal begegnet der sich mit LetsEncrypt beschäftigt.

  7. Re: npm module

    Autor: redmord 14.03.18 - 20:37

    In die .gitignore gehört alles, was nicht zum Projekt gehört und dennoch rumliegt.

  8. Re: npm module

    Autor: der-dicky 14.03.18 - 20:45

    in die .gitignore des projekts gehört alles was vom projekt kommt aber nicht eingecheckt werden soll.
    Temp-files aus build-systemen, dependencies, kompilate.

    in die globale .gitignore des users gehört alles was seine tools, die nicht projektspezifisch sind ablegen was nicht eingecheckt werden soll.

    Beispiel:
    node_modules
    .sass_cache
    target
    dist
    vendor

    das wären sache die in die .gitignore vom projekt gehöhren, denn "das projekt" weiß was es ablegt aber nicht eingecheckt werden soll.

    .ds_store
    thumbs.db
    *.swp
    .idea
    *~

    das wären sachen die in die globale .gitignore gehöhren.
    Woher soll das Projekt wissen mit welchen tools ein Potentieller entwickler arbeitet, und warum sollte diese arbeit für jedes projekt wiederhohlt werden?

  9. Re: npm module

    Autor: redmord 14.03.18 - 20:54

    Dem möchte ich nicht widersprechen ... in einer idealen Welt. ;-)

    Ich hab nichts dagegen, wenn die ignore files wie Müllhalden aussehen, wenn dafür das Projekt sauber bleibt.

  10. Re: npm module

    Autor: tomatentee 14.03.18 - 21:54

    Grundsätzlich korrekt.

    Allerdings schadet es ja auch nichts, wenn das Projekt die häufigsten Mülldateien auch nochmal in der gitignore hat ;)

  11. Re: npm module

    Autor: zZz 17.03.18 - 21:13

    der-dicky schrieb:
    --------------------------------------------------------------------------------
    > .ds_store
    > thumbs.db
    > *.swp
    > .idea
    > *~
    >
    > das wären sachen die in die globale .gitignore gehöhren.

    Sehe ich genauso!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. K+G Konzeption und Gestaltung Agentur für Kommunikation GmbH & Co. KG, Münster
  2. Clariant SE, Frankfurt am Main (Sulzbach)
  3. Deloitte, Düsseldorf, München
  4. Munich International School, Starnberg Raum München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y520 Gaming-Notebook mit i5-7300HQ/8 GB RAM/512 GB SSD/GTX 1050 4 GB/Windows...
  2. (u. a. Define R6 für 94,90€ + Versand, Zotac GeForce GTX 1080 Ti Blower für 639€ + Versand...
  3. 295,99€ (Vergleichspreis ca. 335€) - Aktuell günstigste 2-TB-SSD!
  4. (einzeln für 99€, 2er-Set für 198€ und 3er-Set für 297€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Shadow of the Tomb Raider im Test: Lara und die Apokalypse Lau
Shadow of the Tomb Raider im Test
Lara und die Apokalypse Lau

Ein alter Tempel und Lara Croft: Diese Kombination sorgt in Shadow of the Tomb Raider natürlich für gewaltige Probleme. Die inhaltlichen Unterschiede zu den Vorgängern sind erstaunlich groß, aber trotz guter Ideen vermag das Action-Adventure im Test nicht so richtig zu überzeugen.
Ein Test von Peter Steinlechner

  1. Square Enix Systemanforderungen für Shadow of the Tomb Raider liegen vor
  2. Shadow of the Tomb Raider angespielt Lara und die Schwierigkeitsgrade
  3. Remasters Tomb Raider 1 bis 3 bekommen neue Engine

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

  1. Nach Chemnitz-Äußerungen: Seehofer holt sich Verfassungsschutzchef Maaßen
    Nach Chemnitz-Äußerungen
    Seehofer holt sich Verfassungsschutzchef Maaßen

    Nach seinen umstrittenen Äußerungen zu ausländerfeindlichen Angriffen muss Verfassungsschutzpräsident Maaßen seinen Posten räumen und wird zum Staatssekretär befördert. Im NSA-Ausschuss war er durch unbelegte Vorwürfe gegen US-Whistleblower Edward Snowden aufgefallen.

  2. Videoportal: Youtube Gaming wird abgeschafft
    Videoportal
    Youtube Gaming wird abgeschafft

    Die Nutzer finden die Trennung zwischen Youtube und Youtube Gaming zu verwirrend, jetzt zieht das Videoportal die Konsequenzen: Spieleinhalte sind künftig im normalen Angebot zu finden - mit ein paar spannenden Extras.

  3. Glasfaser: Wohnungsbaugesellschaften machen selbst FTTH
    Glasfaser
    Wohnungsbaugesellschaften machen selbst FTTH

    Ohne Glasfaser anzubieten, brauchen sich Firmen bei Wohnungsbaukonzernen kaum noch bewerben. Als eigener Akteur beim Netzausbau ist deren Bundesverband deshalb auch gegen das Diginetz-Gesetz.


  1. 19:02

  2. 18:30

  3. 18:24

  4. 17:45

  5. 15:11

  6. 15:00

  7. 13:40

  8. 13:20