1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Javascript: Node-Pakete…

Fühle mich bestätigt

Wochenende!!! Zeit für Quatsch!
  1. Thema

Neues Thema Ansicht wechseln


  1. Fühle mich bestätigt

    Autor: twothe 16.12.19 - 12:10

    Ich habe 2017 mal einen Vortrag in einer Firma gehalten, wo es um meine Einschätzung zur Sicherheit von JavaScript und Node.js in Sicherheitsbereichen ging. Meine Einschätzung war vernichtend: ich kam nach Prüfung zu dem Schluss, dass man sich mit Node.js praktisch den Trojaner schon vorinstalliert, denn niemand kann auch nur im entferntesten überblicken was für Code man sich da rein läd, und Sicherheitsmaßnahmen gibt es praktisch nicht.

    Jetzt, nach so "Bomben" wie dem Rückzug von elementaren Paketen, dem Problem unsignierter Installationen, völlig unsicherer Passwörter der Maintainer, und jetzt eben auch noch ausführbare Dateien fühle ich mich bestätigt. Die ganze Node-Welt ist und bleibt ein Frickelwerk, das für Webseiten gerade noch geeignet ist, für Serveranwendungen aber ein völlig unakzeptables Risiko darstellt. Sowohl für die Datensicherheit als auch für den Erfolg jedes Projekts. Das Schlimmste aber ist, dass die Community das genau so absolut toll findet.

  2. Re: Fühle mich bestätigt

    Autor: tomate.salat.inc 16.12.19 - 14:51

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Das Schlimmste aber ist, dass die Community das genau so absolut toll findet.

    Was ich auch überhaupt nicht nachvollziehen kann. Was da für Pakete zu finden sind ist einfach nur unverständlich. Mein liebstes Beispiel das hier:

    https://github.com/jonschlinkert/is-even

    basiert auf dem hier:

    https://github.com/jonschlinkert/is-odd/blob/master/index.js

    Und alles was das erste Paket macht ist die einzige Funktion vom zweiten Paket aufzurufen und zu negieren!

    Nachdem ich das gesehen hab, war mir auch klar, wie die vielen Dateien in meinen React-Projekten zustanden kommen.

    Gerade mal von einem kleinen Tool von mir gezählt: 48.385 Dateien

    Dementsprechend viel Spaß macht das Entwickeln auf Windows-Kisten. Nur wegen der Indizierung der Dateien bin ich auf ein Unix-System umgestiegen. Es wurde einfach irgendwann unmöglich damit zu arbeiten...

  3. Re: Fühle mich bestätigt

    Autor: TheUnichi 16.12.19 - 14:58

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Ich habe 2017 mal einen Vortrag in einer Firma gehalten, wo es um meine
    > Einschätzung zur Sicherheit von JavaScript und Node.js in
    > Sicherheitsbereichen ging. Meine Einschätzung war vernichtend: ich kam nach
    > Prüfung zu dem Schluss, dass man sich mit Node.js praktisch den Trojaner
    > schon vorinstalliert, denn niemand kann auch nur im entferntesten
    > überblicken was für Code man sich da rein läd, und Sicherheitsmaßnahmen
    > gibt es praktisch nicht.
    >
    > Jetzt, nach so "Bomben" wie dem Rückzug von elementaren Paketen, dem
    > Problem unsignierter Installationen, völlig unsicherer Passwörter der
    > Maintainer, und jetzt eben auch noch ausführbare Dateien fühle ich mich
    > bestätigt. Die ganze Node-Welt ist und bleibt ein Frickelwerk, das für
    > Webseiten gerade noch geeignet ist, für Serveranwendungen aber ein völlig
    > unakzeptables Risiko darstellt. Sowohl für die Datensicherheit als auch für
    > den Erfolg jedes Projekts. Das Schlimmste aber ist, dass die Community das
    > genau so absolut toll findet.

    Und was bitte soll da bei anderen Paketmanagern und Sprachen anders sein? Was hat das mit JS zu tun?

    Diese Probleme existierten zu bestimmten Zeitpunkten in jeder einzelnen Sprache oder sie tun es noch heute aber die Sprachen werden nicht annähernd so intensiv genutzt.

    Am Ende ist es der Entwickler, der entscheidet, wie sicher seine Applikation ist. Wer wild fremde Pakete installiert ohne auch nur ansatzweise zu prüfen, was darin enthalten ist, würde sich ja genau so gut auch Malware auf Porn-Seiten herunterladen und installieren, benötigt exakt dieselbe Unvorsichtigkeit.

    An diesen Problemen ist weder JavaScript noch das Prinzip eines Paket-Managers schuld. Das ist der größe des Ökosystems und dem schnellen Wachstum von JS zu verschulden.

    Deinen Vortrag hätte ich zu gerne gehört und zerlegt. Lässt sich anhand deines Posts nämlich schon abzeichnen, dass du da Vorträge über etwas hältst, von dem du absolut keine Ahnung hast.

  4. Re: Fühle mich bestätigt

    Autor: Keto 16.12.19 - 18:19

    tomate.salat.inc schrieb:
    --------------------------------------------------------------------------------
    > Was ich auch überhaupt nicht nachvollziehen kann. Was da für Pakete zu
    > finden sind ist einfach nur unverständlich. Mein liebstes Beispiel das
    > hier:
    >
    > github.com

    Hier das gleiche in NuGet:
    https://www.nuget.org/packages/IntegerHelper/

    Und hier in PyPi:
    https://pypi.org/project/even-tester/

    Gibt halt Leute die meinen es wäre gut alles in möglichst kleine Module zu packen. Ist nicht nur bei npm so.

    Es kommt nicht darauf an was angeboten wird, sondern was man verwendet.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Düsseldorf, Mülheim an der Ruhr, Dortmund, Duisburg
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Duisburg, Düsseldorf, Dortmund
  3. Fachhochschule Südwestfalen, Hagen, Soest
  4. Kreis Paderborn, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 14,99€
  2. 26,99€
  3. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...


Haben wir etwas übersehen?

E-Mail an news@golem.de