Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Atom ausprobiert: Githubs…

"für Profis"?

  1. Thema

Neues Thema Ansicht wechseln


  1. "für Profis"?

    Autor: led02 07.07.15 - 10:58

    Moin. Danke für den Beitrag. Ich finde Atom auch sehr interessant und bin im Moment am Testen und Skripten.

    Allerdings hat mich euer Artikel in anderer Hinsicht ziemlich aufgeregt: Niemals und unter keinen Umständen sollte man ein "curl ... | sudo bash -" ausführen. NIE!!!! Erst recht nicht mit einem 'sudo bash'!!!
    Also: Entweder seid ihr wirklich "für Profis", dann ist die Installation aber nicht "nicht ganz einfach" und der geneigte Leser erkennt, was das für eine Schnappsidee ist. Oder Ihr versucht wirklich, auch etwas unerfahrene Leser abzuholen (was ich gut finde und was ihr zumeist auch ziemlich gut hinbekommt), aber dann solltet ihr AUF KEINEN FALL derartige Sicherheitsrisiken hier als Empfehlung posten.

    Ansonsten bin ich nach wie vor Fan von eurer Seite und bereue mein Abo nicht im geringsten. Macht weiter so gut Arbeit!

    ---
    "Docker is the new 'curl | sudo bash'"

  2. Re: "für Profis"?

    Autor: patlux 07.07.15 - 11:19

    > Die Befehlsfolge lädt ein Setup-Skript für die aktuelle Node-Version auf den Rechner und führt es mit Root-Rechten aus. Vorsichtige Anwender setzen nach der Pipe den Befehl more, um das Skript vor dem Ausführen zu betrachten und zu überprüfen.

    Steht doch im Artikel.

  3. Re: "für Profis"?

    Autor: tschundeee 07.07.15 - 11:29

    Dann lad dir doch einfach das Installationsskript runter und guck den source code durch.

  4. Re: "für Profis"?

    Autor: led02 07.07.15 - 11:30

    Ich bleib bei meiner Meinung: Profis würden das sowieso nicht machen. Nicht-Profis verstehen das Skript nicht. (Ein kurzer Blick hinein offenbart noch eine Reihe weiterer Downloads.) Wenigstens kommt konsequent HTTPS (mit v3 und RC4) zum Einsatz.

  5. Re: "für Profis"?

    Autor: TheBigLou13 07.07.15 - 11:36

    led02 schrieb:
    --------------------------------------------------------------------------------
    > Ich bleib bei meiner Meinung: Profis würden das sowieso nicht machen.
    > Nicht-Profis verstehen das Skript nicht. (Ein kurzer Blick hinein offenbart
    > noch eine Reihe weiterer Downloads.) Wenigstens kommt konsequent HTTPS (mit
    > v3 und RC4) zum Einsatz.

    Unterstütze die Meinung, dass gerade unerfahrenen Nutzern nicht direkt die gespannte Bärenfalle sondern lieber ein schweizer Taschlaser mitgegeben werden sollte.

  6. Re: "für Profis"?

    Autor: beko 07.07.15 - 17:30

    patlux schrieb:
    --------------------------------------------------------------------------------
    > > Die Befehlsfolge lädt ein Setup-Skript für die aktuelle Node-Version auf
    > den Rechner und führt es mit Root-Rechten aus. Vorsichtige Anwender setzen
    > nach der Pipe den Befehl more, um das Skript vor dem Ausführen zu
    > betrachten und zu überprüfen.
    >
    > Steht doch im Artikel.

    Ja. Heute steht das im Script. Da ist weder eine Maintainer-Signatur noch eine Checksum dran. Wer weiß was da morgen ausgeliefert wird. Wer will (und tut) schon jedes mal jede Zeile prüfen, wenn das auf einer neuen Kiste installiert werden soll. "Die Profis" hier schaffen das aber vermutlich mit Links. Immerhin ist Bash Scripting ja auch so easy wie HTML zusammen schubsen, ne?

    Und was ist da am Ende an magic drin, was man die 142 Zeilen Code erschlagen muss? Ein Einzeiler, der auch nur wieder ein DEB Repository hinzufügt und den Key für apt einträgt. Aber yay... 'Running `apt-get update` for you...'.

    Diese sudo-Skript-Seuche nimmt gerade massiv zu - insbesondere bei node. Viel Spaß das alles immer akribisch zu prüfen. Irgendwann geht dir mal was durch die Lappen. Dann wirst du dich an led02 und seine durchaus gesunde Einstellung zu gepipten sudo Skripten aus dem Netz erinnern.

  7. Re: "für Profis"?

    Autor: flow77 07.07.15 - 23:02

    Ich frage mich warum die Installation eines Editor zwingend Root Rechte benötigt. Ginge das nicht anders auch, z.B. wenn kein Root Bash zur Verfügung steht dass die Installation nur für den lokalen Benutzer durchgeführt wird?

    Der aktuelle Trend des Root gebashe ist wirklich seltsam.

    beko schrieb:
    --------------------------------------------------------------------------------
    > patlux schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Die Befehlsfolge lädt ein Setup-Skript für die aktuelle Node-Version
    > auf
    > > den Rechner und führt es mit Root-Rechten aus. Vorsichtige Anwender
    > setzen
    > > nach der Pipe den Befehl more, um das Skript vor dem Ausführen zu
    > > betrachten und zu überprüfen.
    > >
    > > Steht doch im Artikel.
    >
    > Ja. Heute steht das im Script. Da ist weder eine Maintainer-Signatur noch
    > eine Checksum dran. Wer weiß was da morgen ausgeliefert wird. Wer will
    > (und tut) schon jedes mal jede Zeile prüfen, wenn das auf einer neuen Kiste
    > installiert werden soll. "Die Profis" hier schaffen das aber vermutlich
    > mit Links. Immerhin ist Bash Scripting ja auch so easy wie HTML zusammen
    > schubsen, ne?
    >
    > Und was ist da am Ende an magic drin, was man die 142 Zeilen Code
    > erschlagen muss? Ein Einzeiler, der auch nur wieder ein DEB Repository
    > hinzufügt und den Key für apt einträgt. Aber yay... 'Running `apt-get
    > update` for you...'.
    >
    > Diese sudo-Skript-Seuche nimmt gerade massiv zu - insbesondere bei node.
    > Viel Spaß das alles immer akribisch zu prüfen. Irgendwann geht dir mal was
    > durch die Lappen. Dann wirst du dich an led02 und seine durchaus gesunde
    > Einstellung zu gepipten sudo Skripten aus dem Netz erinnern.

  8. Re: "für Profis"?

    Autor: SelfEsteem 07.07.15 - 23:22

    flow77 schrieb:
    --------------------------------------------------------------------------------
    > Ich frage mich warum die Installation eines Editor zwingend Root Rechte
    > benötigt. Ginge das nicht anders auch, z.B. wenn kein Root Bash zur
    > Verfügung steht dass die Installation nur für den lokalen Benutzer
    > durchgeführt wird?
    >
    > Der aktuelle Trend des Root gebashe ist wirklich seltsam.

    Naja, wenn die Distribution die Abhaengigkeiten dieses Editors nicht erfuellen kann, gibt es imho keine wirklich elegante Loesung.

    Du koenntest alle Abhaengigkeiten in ein Verzeichnis unter ~/ klatschen. Das ginge ohne Rootrechte, aber schoen ist das nicht.
    Insbesondere da hier ja NodeJS eine Abhaengigkeit ist, wird sowas zum Krampf (zwar relativ einfach, aber das Ergebnis stinkt dann halt zum Himmel).

    Du koenntest auch haendisch ein Repo einbinden, das die Abhaengigkeiten erfuellt, sie als Root installieren und den Editor unter ~/ klatschen. Das waere schoener, aber taugt nicht fuer Einsteiger. Zumal es dann auch keinen grossen Sinn macht, den Editor ueberhaupt unter ~/ zu haben.

    Mit diesem Root-Gebashe versucht man halt, den "richtigen" Weg angenehmer zu gestalten. Ansich ist das nichts viel anderes als die One-Click ymp-Installationfiles unter OpenSuse, die einem Repos einbinden und die Software installieren. Die Bash-Scripte sehen lediglich gruseliger aus.

  9. Re: "für Profis"?

    Autor: flow77 07.07.15 - 23:37

    Mir sind die Abhängigkeiten bewusst und mag sein dass eine Installation nach ~/ in diesem Fall nicht die Sauberste ist - aber genau da frage ich mich warum das so sein muss.
    Wenn ich als Beispiel Netbeans nehme - das ist ein jar-file und ich benötige hierfür keine Root Rechte, es sei denn ich möchte den Container global für alle User zur Verfügung stellen - egal ob unix, windows, oder mac.

    Mag sein dass ich hier Äpfel mit Birnen vergleiche - aber um noch einmal auf meine Frage zurück zu kommen: Warum benötige ich Root Rechte um einen Editor zu installieren?

    SelfEsteem schrieb:
    --------------------------------------------------------------------------------
    > Naja, wenn die Distribution die Abhaengigkeiten dieses Editors nicht
    > erfuellen kann, gibt es imho keine wirklich elegante Loesung.
    >
    > Du koenntest alle Abhaengigkeiten in ein Verzeichnis unter ~/ klatschen.
    > Das ginge ohne Rootrechte, aber schoen ist das nicht.
    > Insbesondere da hier ja NodeJS eine Abhaengigkeit ist, wird sowas zum
    > Krampf (zwar relativ einfach, aber das Ergebnis stinkt dann halt zum
    > Himmel).
    >
    > Du koenntest auch haendisch ein Repo einbinden, das die Abhaengigkeiten
    > erfuellt, sie als Root installieren und den Editor unter ~/ klatschen. Das
    > waere schoener, aber taugt nicht fuer Einsteiger. Zumal es dann auch keinen
    > grossen Sinn macht, den Editor ueberhaupt unter ~/ zu haben.
    >
    > Mit diesem Root-Gebashe versucht man halt, den "richtigen" Weg angenehmer
    > zu gestalten. Ansich ist das nichts viel anderes als die One-Click
    > ymp-Installationfiles unter OpenSuse, die einem Repos einbinden und die
    > Software installieren. Die Bash-Scripte sehen lediglich gruseliger aus.

  10. Re: "für Profis"?

    Autor: SelfEsteem 08.07.15 - 06:00

    flow77 schrieb:
    --------------------------------------------------------------------------------
    > Mir sind die Abhängigkeiten bewusst und mag sein dass eine Installation
    > nach ~/ in diesem Fall nicht die Sauberste ist - aber genau da frage ich
    > mich warum das so sein muss.
    > Wenn ich als Beispiel Netbeans nehme - das ist ein jar-file und ich
    > benötige hierfür keine Root Rechte, es sei denn ich möchte den Container
    > global für alle User zur Verfügung stellen - egal ob unix, windows, oder
    > mac.
    >
    > Mag sein dass ich hier Äpfel mit Birnen vergleiche - aber um noch einmal
    > auf meine Frage zurück zu kommen: Warum benötige ich Root Rechte um einen
    > Editor zu installieren?

    Du missverstehst lediglich die missverstaendliche Formulierung der Unterueberschrift im Artikel ;).

    1. Um deinem Vergleich zu folgen, muesste in den Eclipse- oder Netbeans-Paketen Java enthalten sein, was nicht der Fall ist. Ohne Java kannst du mit dem jar-File nichts anfangen.
    Das Script laed aber eben Node als Abhaengigkeit nach, was ja eben die "Laufzeitumgebung" ist.

    2. Zumindest auf rpm-Basierten Distros kannst du ein manuell runtergeladene RPM-Files auch ohne Root-Rechte unter /home/user installieren.
    Ich weiss es zwar nicht aus dem Stegreif, aber schaetze, dass dies unter Deb-Distros genauso geht.

    3. Was Golem da beschreibt ist (wie es auch geschrieben steht) keine einfache Installation. Die holen sich nicht nur Laufzeitabhaengigkeiten, sondern bauen das Ding. Das ist auch nochmal eine etwas andere Sache als eine sture Installation.



    Dass es im Gegensatz zu Eclipse oder Netbeans keine zip-Files gibt, die die Anwendung allein bringen, liegt lediglich daran, dass kein solches Zip-File zur Verfuegung gestellt wurde. Technisch gibt es dafuer eher keinen Grund ;)



    1 mal bearbeitet, zuletzt am 08.07.15 06:06 durch SelfEsteem.

  11. Re: "für Profis"?

    Autor: flow77 08.07.15 - 21:15

    Danke für die ausführliche Erklärung!
    Jetzt sind wir aber genau da angekommen wo ich eigentlich hin wollt:

    1.) Netbeans benötigt Java; wenn das nicht installiert ist benötige ich für die Installation Java und root. Verständlich, macht ja keinen Sinn das nur für den User zu installieren - wird auch ohne große Anpassungen (default dir etc.) eh nicht funktionieren.

    2.) Atom benötigt node und wohl auch andere Abhängigkeiten; wenn hier etwas fehlt, benötige ich auch Root Rechte um diese zu installieren - da es ebenso wenig Sinn macht das auf Userspace zu begrenzen.

    Und zwischen den Beiden Fällen liegt genau der feine aber wichtige Unterschied: im Fall 2 setze ich mein System einer möglichen Gefahr aus (wie groß sei mal dahingestellt) - weil ich immer sudo bash pipe. Egal ob mein System ggf. die Abhängigkeiten bereits komplett erfüllt oder nicht.
    Und für mich und wohl auf den Thread Ersteller ist das genau der Punkte der mich einfach stört - das root gebashe. In dem Shell Script bei Bedarf Root Rechte zu gewähren falls etwas auf Root Ebene gemacht werden muss, mit Hinweis und Bestätigung wäre aus meiner Sicht der richtige Weg.
    Aber per se einfach Root gewähren ist gefährlich und führt mitunter zur Vernachlässigung der natürlichen Schutzbarriere eines Unix Systems und nimmt wie gesagt immer mehr zu. Installer werden durch zusätzliche Conditions natürlich komplexer und aufwändiger zu schreiben/warten und für nicht finale alpha/beta Software auch sicher ein gewisser Overkill.

    Das ist jedenfalls meine Meinung dazu.

    SelfEsteem schrieb:
    --------------------------------------------------------------------------------
    > Du missverstehst lediglich die missverstaendliche Formulierung der
    > Unterueberschrift im Artikel ;).
    >
    > 1. Um deinem Vergleich zu folgen, muesste in den Eclipse- oder
    > Netbeans-Paketen Java enthalten sein, was nicht der Fall ist. Ohne Java
    > kannst du mit dem jar-File nichts anfangen.
    > Das Script laed aber eben Node als Abhaengigkeit nach, was ja eben die
    > "Laufzeitumgebung" ist.
    >
    > 2. Zumindest auf rpm-Basierten Distros kannst du ein manuell runtergeladene
    > RPM-Files auch ohne Root-Rechte unter /home/user installieren.
    > Ich weiss es zwar nicht aus dem Stegreif, aber schaetze, dass dies unter
    > Deb-Distros genauso geht.
    >
    > 3. Was Golem da beschreibt ist (wie es auch geschrieben steht) keine
    > einfache Installation. Die holen sich nicht nur Laufzeitabhaengigkeiten,
    > sondern bauen das Ding. Das ist auch nochmal eine etwas andere Sache als
    > eine sture Installation.
    >
    > Dass es im Gegensatz zu Eclipse oder Netbeans keine zip-Files gibt, die die
    > Anwendung allein bringen, liegt lediglich daran, dass kein solches Zip-File
    > zur Verfuegung gestellt wurde. Technisch gibt es dafuer eher keinen Grund
    > ;)



    1 mal bearbeitet, zuletzt am 08.07.15 21:17 durch flow77.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. HYDRO Systems KG, Biberach
  2. STRABAG BRVZ GMBH & CO.KG, Stuttgart
  3. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
  4. Evangelische Kirche in Hessen und Nassau, Darmstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 44,99€
  2. 4,99€
  3. 2,99€
  4. 4,16€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

Galaxy Note 10 im Hands on: Samsungs Stift-Smartphone kommt in zwei Größen
Galaxy Note 10 im Hands on
Samsungs Stift-Smartphone kommt in zwei Größen

Samsung hat sein neues Android-Smartphone Galaxy Note 10 präsentiert - erstmals in zwei Versionen: Die Plus-Variante hat ein größeres Display und einen größeren Akku sowie eine zusätzliche ToF-Kamera. Günstig sind sie nicht.
Ein Hands on von Tobias Költzsch

  1. Werbung Samsung bewirbt Galaxy Note 10 auf seinen Smartphones
  2. Smartphone Samsung präsentiert Kamerasensor mit 108 Megapixeln
  3. Galaxy Note 10 Samsung korrigiert Falschinformation zum Edelstahlgehäuse

Ryzen 5 3400G und Ryzen 3 3200G im Test: Picasso passt
Ryzen 5 3400G und Ryzen 3 3200G im Test
Picasso passt

Vier Zen-CPU-Kerne plus integrierte Vega-Grafikeinheit: Der Ryzen 5 3400G und der Ryzen 3 3200G sind zwar im Prinzip nur höher getaktete Chips, in ihrem Segment aber weiterhin konkurrenzlos. Das schnellere Modell hat jedoch trotz verlötetem Extra für Übertakter ein Preisproblem.
Ein Test von Marc Sauter

  1. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  2. Ryzen 3000 Agesa 1003abb behebt RDRAND- und PCIe-Gen4-Bug
  3. Ryzen 5 3600(X) im Test Sechser-Pasch von AMD

  1. Urheberrecht: Youtuber sollen bei Snippets kein Geld mehr verlieren
    Urheberrecht
    Youtuber sollen bei Snippets kein Geld mehr verlieren

    Bisher konnten Urheber die Einnahmen von Youtubern komplett an sich ziehen, auch wenn diese nur ganz kurze Teile der eigenen Werke übernahmen. Das soll künftig auf Youtube nicht mehr möglich sein.

  2. Einrichtungskonzern: Ikea startet eigenen Geschäftsbereich für Smart Home
    Einrichtungskonzern
    Ikea startet eigenen Geschäftsbereich für Smart Home

    Der Einrichtungskonzern Ikea will mit einem eigenen Geschäftsbereich seine Smart-Home-Produkte voranbringen. Das Unternehmen will damit mehr bieten als nur gewöhnliche Möbel.

  3. Zoncolan: Facebook testet 100 Millionen Zeilen Code in 30 Minuten
    Zoncolan
    Facebook testet 100 Millionen Zeilen Code in 30 Minuten

    Das Entwicklerteam von Facebook hat ein eigenes Werkzeug zur statischen Code-Analyse erstellt und stellt nun erstmals Details dazu vor. Das Projekt habe Tausende Sicherheitslücken verhindert.


  1. 14:34

  2. 13:28

  3. 12:27

  4. 11:33

  5. 09:01

  6. 14:28

  7. 13:20

  8. 12:29