Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › event-stream: Populäres…

Davor wurde sogar mal akut gewarnt…

  1. Thema

Neues Thema Ansicht wechseln


  1. Davor wurde sogar mal akut gewarnt…

    Autor: Cassiel 27.11.18 - 13:55

    In einem damals noch fiktiven, aber durchaus denkbaren Szenario:
    https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5



    1 mal bearbeitet, zuletzt am 27.11.18 13:55 durch Cassiel.

  2. Re: Davor wurde sogar mal akut gewarnt…

    Autor: Sinnfrei 27.11.18 - 14:40

    Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    __________________
    ...

  3. Re: Davor wurde sogar mal akut gewarnt…

    Autor: AllDayPiano 27.11.18 - 15:51

    Cooler Link. War echt sehr lesenswert! Und ziemlich unterhaltsam. Auch wenn ich Horror-Schocker um die Uhrzeit unpassend finde ^^

  4. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 19:27

    Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab. Letztere dürften dann jetzt wohl Bitcoins minern.

  5. Re: Davor wurde sogar mal akut gewarnt…

    Autor: robinx999 27.11.18 - 19:45

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat
    > es nicht besser verdient.

    Dummerweise ist so etwas wie castnow https://github.com/xat/castnow einfach ein Programm dass das macht was ich benötige. Video Dateien von der Festplatte an einen Chromecast streamen, die Aktuelle Wiedergabe steuern, und ansprechen des Chromecasts über Name oder IP Adresse. Außerdem kann das Video auch aus einer Pipe kommen und kann also auch erst noch ffmpeg durchlaufen

    Ist aber alles mit npm gemacht und alternativen sind Rar gesät

  6. Re: Davor wurde sogar mal akut gewarnt…

    Autor: hyperlord 27.11.18 - 20:40

    Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede Abhängigkeit via Quellcode?

  7. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 21:59

    hyperlord schrieb:
    --------------------------------------------------------------------------------
    > Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du
    > alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede
    > Abhängigkeit via Quellcode?

    Es gibt eine sehr einfache Regel in Projekten: jede Abhängigkeit ist ein Risiko.
    Wenn eine Abhängigkeit also keine immensen Vorteile bringt sollte man sie bleiben lassen. Ein paar Zeilen Code selber schreiben mag im Moment ein paar Minuten Zeit mehr kosten, aber sobald das NPM Paket dann mal wieder bockt hat man die Zeit locker wieder raus.

    Sich ein Paket für isArray rein zu ziehen, dass eine Zeile Code mitbringt, ist so was von schwachsinnig, das tut wirklich weh.

  8. Re: Davor wurde sogar mal akut gewarnt…

    Autor: basti1253 28.11.18 - 07:49

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen
    > Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab.
    > Letztere dürften dann jetzt wohl Bitcoins minern.

    Ahnungsloses Gebrabbel voller Polemik und Häme. Keinen Paketmanager zu verwenden ist dem Kunden gegenüber auch reichlich unseriös. Oder installiert ihr 2 Nasen über alle Teams hinweg alle Abhängigkeiten per Hand? Wie installiert ihr @babel, webpack oder auch typescript ohne npm/yarn? Wie kümmert ihr euch heute um cross-browser Darstellung ohne postcss/autoprefixer?

    Habt ihr mal einen Blick auf andere Programmiersprachen geworfen? In anderen Sprachen läuft das auch nicht anders.
    - java mit maven/gradle
    - php mit composer/pearl
    - python mit pip
    - go/ go get
    - rust/cargo
    ...

    Es sind mittlerweile auch einige Sicherheitsmechanismen in npm bzw. für npm verfügbar: NexusIQ, npm audit, ... Schützt natürlich nur bedingt vor einem derartigen Alptraumszenario, Hirn einsetzen, ständig weiterbilden und es wie @hyperlord halten hilft aber in aller Regel.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. über duerenhoff GmbH, Raum Norderstedt
  4. ITC Consult GmbH, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 32,25€ (5% Extra-Rabatt mit Gutschein GRCCIVGS (Uplay-Aktivierung))
  2. (-15%) 33,99€
  3. 32,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Ökostrom Wie Norddeutschland die Energiewende vormacht
  2. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke
  3. Optoakustik US-Forscher flüstern per Laser ins Ohr

Ottobock: Wie ein Exoskelett die Arbeit erleichtert
Ottobock
Wie ein Exoskelett die Arbeit erleichtert

Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
Ein Erfahrungsbericht von Werner Pluta


    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

    1. Datenschutz: 18.000 Android-Apps spionieren Nutzer unzulässig aus
      Datenschutz
      18.000 Android-Apps spionieren Nutzer unzulässig aus

      Selbst populäre Apps mit Hunderten Millionen Nutzern verstoßen gegen die Werberichtlinien von Google. Das Unternehmen reagierte monatelang nicht auf die Vorwürfe.

    2. Erneuerbare Energien: Shell übernimmt Heimakku-Hersteller Sonnen
      Erneuerbare Energien
      Shell übernimmt Heimakku-Hersteller Sonnen

      Der Erdölkonzern Shell setzt sein Engagement im Bereich erneuerbare Energien fort. Nun kauft das Unternehmen einen Konkurrenten für Teslas Powerwalls aus dem Allgäu.

    3. Wochenrückblick: Kein Download vom Mars, kein Upload ins Netz
      Wochenrückblick
      Kein Download vom Mars, kein Upload ins Netz

      Golem.de-Wochenrückblick EU-Unterhändler bürokratisieren mit Leistungsschutzrecht und Uploadfilter das Internet. Am Mars geht Opportunity in Rente. Zurück auf der Erde fühlen wir uns eingeschnürt.


    1. 13:16

    2. 11:39

    3. 09:02

    4. 19:17

    5. 18:18

    6. 17:45

    7. 16:20

    8. 15:42