Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › event-stream: Populäres…

Davor wurde sogar mal akut gewarnt…

  1. Thema

Neues Thema Ansicht wechseln


  1. Davor wurde sogar mal akut gewarnt…

    Autor: Cassiel 27.11.18 - 13:55

    In einem damals noch fiktiven, aber durchaus denkbaren Szenario:
    https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5



    1 mal bearbeitet, zuletzt am 27.11.18 13:55 durch Cassiel.

  2. Re: Davor wurde sogar mal akut gewarnt…

    Autor: Sinnfrei 27.11.18 - 14:40

    Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    __________________
    ...

  3. Re: Davor wurde sogar mal akut gewarnt…

    Autor: AllDayPiano 27.11.18 - 15:51

    Cooler Link. War echt sehr lesenswert! Und ziemlich unterhaltsam. Auch wenn ich Horror-Schocker um die Uhrzeit unpassend finde ^^

  4. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 19:27

    Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab. Letztere dürften dann jetzt wohl Bitcoins minern.

  5. Re: Davor wurde sogar mal akut gewarnt…

    Autor: robinx999 27.11.18 - 19:45

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat
    > es nicht besser verdient.

    Dummerweise ist so etwas wie castnow https://github.com/xat/castnow einfach ein Programm dass das macht was ich benötige. Video Dateien von der Festplatte an einen Chromecast streamen, die Aktuelle Wiedergabe steuern, und ansprechen des Chromecasts über Name oder IP Adresse. Außerdem kann das Video auch aus einer Pipe kommen und kann also auch erst noch ffmpeg durchlaufen

    Ist aber alles mit npm gemacht und alternativen sind Rar gesät

  6. Re: Davor wurde sogar mal akut gewarnt…

    Autor: hyperlord 27.11.18 - 20:40

    Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede Abhängigkeit via Quellcode?

  7. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 21:59

    hyperlord schrieb:
    --------------------------------------------------------------------------------
    > Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du
    > alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede
    > Abhängigkeit via Quellcode?

    Es gibt eine sehr einfache Regel in Projekten: jede Abhängigkeit ist ein Risiko.
    Wenn eine Abhängigkeit also keine immensen Vorteile bringt sollte man sie bleiben lassen. Ein paar Zeilen Code selber schreiben mag im Moment ein paar Minuten Zeit mehr kosten, aber sobald das NPM Paket dann mal wieder bockt hat man die Zeit locker wieder raus.

    Sich ein Paket für isArray rein zu ziehen, dass eine Zeile Code mitbringt, ist so was von schwachsinnig, das tut wirklich weh.

  8. Re: Davor wurde sogar mal akut gewarnt…

    Autor: basti1253 28.11.18 - 07:49

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen
    > Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab.
    > Letztere dürften dann jetzt wohl Bitcoins minern.

    Ahnungsloses Gebrabbel voller Polemik und Häme. Keinen Paketmanager zu verwenden ist dem Kunden gegenüber auch reichlich unseriös. Oder installiert ihr 2 Nasen über alle Teams hinweg alle Abhängigkeiten per Hand? Wie installiert ihr @babel, webpack oder auch typescript ohne npm/yarn? Wie kümmert ihr euch heute um cross-browser Darstellung ohne postcss/autoprefixer?

    Habt ihr mal einen Blick auf andere Programmiersprachen geworfen? In anderen Sprachen läuft das auch nicht anders.
    - java mit maven/gradle
    - php mit composer/pearl
    - python mit pip
    - go/ go get
    - rust/cargo
    ...

    Es sind mittlerweile auch einige Sicherheitsmechanismen in npm bzw. für npm verfügbar: NexusIQ, npm audit, ... Schützt natürlich nur bedingt vor einem derartigen Alptraumszenario, Hirn einsetzen, ständig weiterbilden und es wie @hyperlord halten hilft aber in aller Regel.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Altenholz bei Kiel (Home-Office möglich)
  2. Etribes Connect GmbH, Hamburg
  3. TÜV SÜD Gruppe, Leverkusen
  4. se commerce GmbH, Gersthofen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Grafikkarten, Monitore, Mainboards)
  2. 334,00€
  3. 299,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Azure Speech Service: Microsofts Demos entstehen im fensterlosen Nerd-Keller
Azure Speech Service
Microsofts Demos entstehen im fensterlosen Nerd-Keller

Build 2019 Moderne Architektur, große Fenster, ein Zen-Garten: Microsofts Campus wirkt außen modern und aufgeräumt. Präsentationen entstehen trotzdem in einem fensterlosen Raum, in dem sich Hardware und Werkzeug stapeln. Microsoft zeigt dort auch eine ungeskriptete Version seiner Spracherkennungssoftware.
Von Oliver Nickel

  1. Beta Writer Algorithmus schreibt wissenschaftliches Buch
  2. Google Neuer KI-Rat soll Googles ethische Richtlinien umsetzen
  3. Affectiva KI erkennt die Gefühle von Autofahrern

Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Ingolstadt Audi vernetzt Autos mit Ampeln
  2. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen
  3. Waymo One Lyft vermittelt Waymos autonome Taxis

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

  1. Onlinehandel: Mehr Verbraucherbeschwerden im Paketgeschäft
    Onlinehandel
    Mehr Verbraucherbeschwerden im Paketgeschäft

    Im vergangenen Jahr haben sich deutlich mehr Kunden über Probleme bei Paketzustellungen beschwert als noch ein Jahr zuvor. Auch im laufenden Jahr hält der Trend durch das Wachstum des Onlinehandels an. Gemessen an der Zahl der gelieferten Pakete sind es aber wenige Beanstandungen.

  2. Premium Alexa Skills: Skills für Amazons Alexa mit Bezahlfunktion starten
    Premium Alexa Skills
    Skills für Amazons Alexa mit Bezahlfunktion starten

    Amazon hat erste Premium Alexa Skills für Deutschland veröffentlicht. Diese enthalten sogenannte In-Skill-Käufe, Kunden können gegen Bezahlung spezielle Funktionen aktivieren. Zum Start stehen insgesamt 14 Angebote zur Verfügung.

  3. Vodafone: Otelo-Vertragskunden erhalten Zugang zum LTE-Netz
    Vodafone
    Otelo-Vertragskunden erhalten Zugang zum LTE-Netz

    Die Vodafone-Marke Otelo bietet Kunden mit Laufzeitverträgen Zugang zum LTE-Netz. Bisher musste der LTE-Zugang extra bezahlt werden, nun ist er in allen Tarifen enthalten, auch für Bestandskunden. Prepaid-Kunden können das LTE-Netz weiterhin nicht nutzen.


  1. 12:12

  2. 11:53

  3. 11:35

  4. 14:56

  5. 13:54

  6. 12:41

  7. 16:15

  8. 15:45