1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › event-stream: Populäres…

Davor wurde sogar mal akut gewarnt…

  1. Thema

Neues Thema Ansicht wechseln


  1. Davor wurde sogar mal akut gewarnt…

    Autor: Cassiel 27.11.18 - 13:55

    In einem damals noch fiktiven, aber durchaus denkbaren Szenario:
    https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5



    1 mal bearbeitet, zuletzt am 27.11.18 13:55 durch Cassiel.

  2. Re: Davor wurde sogar mal akut gewarnt…

    Autor: Sinnfrei 27.11.18 - 14:40

    Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    __________________
    ...

  3. Re: Davor wurde sogar mal akut gewarnt…

    Autor: AllDayPiano 27.11.18 - 15:51

    Cooler Link. War echt sehr lesenswert! Und ziemlich unterhaltsam. Auch wenn ich Horror-Schocker um die Uhrzeit unpassend finde ^^

  4. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 19:27

    Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab. Letztere dürften dann jetzt wohl Bitcoins minern.

  5. Re: Davor wurde sogar mal akut gewarnt…

    Autor: robinx999 27.11.18 - 19:45

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat
    > es nicht besser verdient.

    Dummerweise ist so etwas wie castnow https://github.com/xat/castnow einfach ein Programm dass das macht was ich benötige. Video Dateien von der Festplatte an einen Chromecast streamen, die Aktuelle Wiedergabe steuern, und ansprechen des Chromecasts über Name oder IP Adresse. Außerdem kann das Video auch aus einer Pipe kommen und kann also auch erst noch ffmpeg durchlaufen

    Ist aber alles mit npm gemacht und alternativen sind Rar gesät

  6. Re: Davor wurde sogar mal akut gewarnt…

    Autor: hyperlord 27.11.18 - 20:40

    Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede Abhängigkeit via Quellcode?

  7. Re: Davor wurde sogar mal akut gewarnt…

    Autor: twothe 27.11.18 - 21:59

    hyperlord schrieb:
    --------------------------------------------------------------------------------
    > Und wie verwaltest Du dann die Abhängigkeiten deiner Software? Schreibst Du
    > alles selbst (also hast Du keine Abhängigkeiten), auditierst Du jede
    > Abhängigkeit via Quellcode?

    Es gibt eine sehr einfache Regel in Projekten: jede Abhängigkeit ist ein Risiko.
    Wenn eine Abhängigkeit also keine immensen Vorteile bringt sollte man sie bleiben lassen. Ein paar Zeilen Code selber schreiben mag im Moment ein paar Minuten Zeit mehr kosten, aber sobald das NPM Paket dann mal wieder bockt hat man die Zeit locker wieder raus.

    Sich ein Paket für isArray rein zu ziehen, dass eine Zeile Code mitbringt, ist so was von schwachsinnig, das tut wirklich weh.

  8. Re: Davor wurde sogar mal akut gewarnt…

    Autor: basti1253 28.11.18 - 07:49

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Ja, das ganze Konstrukt ist ein Albtraum. Wer NPM und ähnliches nutzt hat es nicht besser verdient.

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Ich warne seit Jahren alle Kunden vor NPM und mache ihnen klar, dass sie sich damit ein riesen
    > Sicherheitsloch in die Firma holen. Ein paar hören zum Glück, viele tun das aber als Paranoia ab.
    > Letztere dürften dann jetzt wohl Bitcoins minern.

    Ahnungsloses Gebrabbel voller Polemik und Häme. Keinen Paketmanager zu verwenden ist dem Kunden gegenüber auch reichlich unseriös. Oder installiert ihr 2 Nasen über alle Teams hinweg alle Abhängigkeiten per Hand? Wie installiert ihr @babel, webpack oder auch typescript ohne npm/yarn? Wie kümmert ihr euch heute um cross-browser Darstellung ohne postcss/autoprefixer?

    Habt ihr mal einen Blick auf andere Programmiersprachen geworfen? In anderen Sprachen läuft das auch nicht anders.
    - java mit maven/gradle
    - php mit composer/pearl
    - python mit pip
    - go/ go get
    - rust/cargo
    ...

    Es sind mittlerweile auch einige Sicherheitsmechanismen in npm bzw. für npm verfügbar: NexusIQ, npm audit, ... Schützt natürlich nur bedingt vor einem derartigen Alptraumszenario, Hirn einsetzen, ständig weiterbilden und es wie @hyperlord halten hilft aber in aller Regel.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Auswärtiges Amt, Bonn, Berlin, Brandenburg an der Havel
  2. SIZ GmbH, Bonn
  3. Technische Universität Berlin, Berlin
  4. Sparkassenverband Niedersachsen, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 17,99€
  2. (u. a. Far Cry 5 für 14,99€, Far Cry New Dawn für 17,99€, Far Cry für 3,99€)
  3. 3,99€
  4. 12,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Data Scientist: Ein Mann, der mit Daten Leben retten will
Data Scientist
Ein Mann, der mit Daten Leben retten will

Senfgelbes Linoleum im Büro und weniger Geld als in der freien Wirtschaft - egal, der Data Scientist Danilo Schmidt liebt seinen Job an der Charité. Mit Ärzten entwickelt er Lösungen für Patienten. Die größten Probleme dabei: Medizinersprech und Datenschutz.
Ein Porträt von Maja Hoock

  1. Computerlinguistik "Bordstein Sie Ihre Erwartung!"
  2. OpenAI Roboterarm löst Zauberwürfel einhändig
  3. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

Frauen in der Technik: Von wegen keine Vorbilder!
Frauen in der Technik
Von wegen keine Vorbilder!

Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
Von Valerie Lux

  1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig

  1. SpaceX: Falcon 9 scheitert am Versuch der 50. Landung
    SpaceX
    Falcon 9 scheitert am Versuch der 50. Landung

    Das Jubiläum fiel buchstäblich ins Wasser. Nach dem Start von 60 weiteren Starlink-Satelliten tat die erste Raketenstufe, was bei anderen Raketen normal ist: Sie landete im Meer.

  2. Microsoft: WSL2 könnte von Windows-Updates getrennt verteilt werden
    Microsoft
    WSL2 könnte von Windows-Updates getrennt verteilt werden

    Neuerungen für das Windows Subsystem für Linux (WSL) gibt es bisher nur mit großen Updates für Windows selbst. Dank der Architektur des neuen WSL2 könnte sich dies aber bald ändern, was einige Nutzer fordern.

  3. Luftfahrt: DLR-Forscher entwerfen elektrisches Regionalflugzeug
    Luftfahrt
    DLR-Forscher entwerfen elektrisches Regionalflugzeug

    Noch können hybrid-elektrische Regionalflugzeuge nicht mit konventionell angetriebenen Flugzeugen konkurrieren. Das wird sich aber ändern. Forscher des DLR und des Vereins Bauhaus Luftfahrt arbeiten bereits am Elektroflugzeug der Zukunft.


  1. 18:11

  2. 17:00

  3. 16:46

  4. 16:22

  5. 14:35

  6. 14:20

  7. 13:05

  8. 12:23