Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › event-stream: Populäres…

Davor wurde sogar mal akut gewarnt…

  1. Thema

Neues Thema Ansicht wechseln


  1. Davor wurde sogar mal akut gewarnt…

    Autor: Cassiel 27.11.18 - 13:55

    In einem damals noch fiktiven, aber durchaus denkbaren Szenario:
    https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5



    1 mal bearbeitet, zuletzt am 27.11.18 13:55 durch Cassiel.

  2. Re: Davor wurde sogar mal akut gewarnt…

    Autor: Sinnfrei 27.11.18 - 14:40

    Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    __________________
    ...

  3. Re: Davor wurde sogar mal akut gewarnt…

    Autor: AllDayPiano 27.11.18 - 15:51

    Cooler Link. War echt sehr lesenswert! Und ziemlich unterhaltsam. Auch wenn ich Horror-Schocker um die Uhrzeit unpassend finde ^^

  4. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 19:27

    Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab. Letztere dürften dann jetzt wohl Bitcoins minern.

  5. Re: Davor wurde sogar mal akut gewarnt…

    Autor: robinx999 27.11.18 - 19:45

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat
    > es nicht besser verdient.

    Dummerweise ist so etwas wie castnow https://github.com/xat/castnow einfach ein Programm dass das macht was ich benötige. Video Dateien von der Festplatte an einen Chromecast streamen, die Aktuelle Wiedergabe steuern, und ansprechen des Chromecasts über Name oder IP Adresse. Außerdem kann das Video auch aus einer Pipe kommen und kann also auch erst noch ffmpeg durchlaufen

    Ist aber alles mit npm gemacht und alternativen sind Rar gesät

  6. Re: Davor wurde sogar mal akut gewarnt…

    Autor: hyperlord 27.11.18 - 20:40

    Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede Abhängigkeit via Quellcode?

  7. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 21:59

    hyperlord schrieb:
    --------------------------------------------------------------------------------
    > Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du
    > alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede
    > Abhängigkeit via Quellcode?

    Es gibt eine sehr einfache Regel in Projekten: jede Abhängigkeit ist ein Risiko.
    Wenn eine Abhängigkeit also keine immensen Vorteile bringt sollte man sie bleiben lassen. Ein paar Zeilen Code selber schreiben mag im Moment ein paar Minuten Zeit mehr kosten, aber sobald das NPM Paket dann mal wieder bockt hat man die Zeit locker wieder raus.

    Sich ein Paket für isArray rein zu ziehen, dass eine Zeile Code mitbringt, ist so was von schwachsinnig, das tut wirklich weh.

  8. Re: Davor wurde sogar mal akut gewarnt…

    Autor: basti1253 28.11.18 - 07:49

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen
    > Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab.
    > Letztere dürften dann jetzt wohl Bitcoins minern.

    Ahnungsloses Gebrabbel voller Polemik und Häme. Keinen Paketmanager zu verwenden ist dem Kunden gegenüber auch reichlich unseriös. Oder installiert ihr 2 Nasen über alle Teams hinweg alle Abhängigkeiten per Hand? Wie installiert ihr @babel, webpack oder auch typescript ohne npm/yarn? Wie kümmert ihr euch heute um cross-browser Darstellung ohne postcss/autoprefixer?

    Habt ihr mal einen Blick auf andere Programmiersprachen geworfen? In anderen Sprachen läuft das auch nicht anders.
    - java mit maven/gradle
    - php mit composer/pearl
    - python mit pip
    - go/ go get
    - rust/cargo
    ...

    Es sind mittlerweile auch einige Sicherheitsmechanismen in npm bzw. für npm verfügbar: NexusIQ, npm audit, ... Schützt natürlich nur bedingt vor einem derartigen Alptraumszenario, Hirn einsetzen, ständig weiterbilden und es wie @hyperlord halten hilft aber in aller Regel.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA, Mannheim
  2. Atlas Copco - Synatec GmbH, Stuttgart
  3. Hays AG, Frankfurt am Main
  4. Hays AG, Raum Ludwigsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

  1. Vodafone: "Wir bauen mehr Gigabit als alle Glasfaserunternehmen"
    Vodafone
    "Wir bauen mehr Gigabit als alle Glasfaserunternehmen"

    Die Übernahme von Unitymedia durch Vodafone stößt auf Bedenken bei der EU-Kommission. Der Vodafone-Chef sieht sich jedoch als führenden Gigabit-Betreiber.

  2. Leistungsschutzrecht: So oft könnten Verlage künftig an Bezahlartikeln verdienen
    Leistungsschutzrecht
    So oft könnten Verlage künftig an Bezahlartikeln verdienen

    In vielen Medien geht der Trend zu Bezahlschranken für exklusive Inhalte. Künftig müssten Google und andere Internetdienste wegen des Leistungsschutzrechts auch für Links auf geschützte Artikel zahlen. Google signalisiert dabei eine merkwürdige Art von Zahlungsbereitschaft.

  3. Autonomes Fahren: Uber-Mitarbeiter warnte vor Sicherheitsmängeln
    Autonomes Fahren
    Uber-Mitarbeiter warnte vor Sicherheitsmängeln

    Ein Zwischenfall alle 15.000 Meilen: Ein ehemaliger Mitarbeiter von Uber hat im Frühjahr das Management des Fahrdienstes darauf aufmerksam gemacht, dass die autonom fahrenden Autos nicht sicher sind. Die Warnung kam wenige Tage vor dem Unfall, bei dem eine Fußgängerin starb.


  1. 14:45

  2. 14:00

  3. 13:22

  4. 12:30

  5. 12:12

  6. 12:03

  7. 11:50

  8. 11:45