1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Javascript: Node-Pakete…

Fühle mich bestätigt

  1. Thema

Neues Thema Ansicht wechseln


  1. Fühle mich bestätigt

    Autor: twothe 16.12.19 - 12:10

    Ich habe 2017 mal einen Vortrag in einer Firma gehalten, wo es um meine Einschätzung zur Sicherheit von JavaScript und Node.js in Sicherheitsbereichen ging. Meine Einschätzung war vernichtend: ich kam nach Prüfung zu dem Schluss, dass man sich mit Node.js praktisch den Trojaner schon vorinstalliert, denn niemand kann auch nur im entferntesten überblicken was für Code man sich da rein läd, und Sicherheitsmaßnahmen gibt es praktisch nicht.

    Jetzt, nach so "Bomben" wie dem Rückzug von elementaren Paketen, dem Problem unsignierter Installationen, völlig unsicherer Passwörter der Maintainer, und jetzt eben auch noch ausführbare Dateien fühle ich mich bestätigt. Die ganze Node-Welt ist und bleibt ein Frickelwerk, das für Webseiten gerade noch geeignet ist, für Serveranwendungen aber ein völlig unakzeptables Risiko darstellt. Sowohl für die Datensicherheit als auch für den Erfolg jedes Projekts. Das Schlimmste aber ist, dass die Community das genau so absolut toll findet.

  2. Re: Fühle mich bestätigt

    Autor: tomate.salat.inc 16.12.19 - 14:51

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Das Schlimmste aber ist, dass die Community das genau so absolut toll findet.

    Was ich auch überhaupt nicht nachvollziehen kann. Was da für Pakete zu finden sind ist einfach nur unverständlich. Mein liebstes Beispiel das hier:

    https://github.com/jonschlinkert/is-even

    basiert auf dem hier:

    https://github.com/jonschlinkert/is-odd/blob/master/index.js

    Und alles was das erste Paket macht ist die einzige Funktion vom zweiten Paket aufzurufen und zu negieren!

    Nachdem ich das gesehen hab, war mir auch klar, wie die vielen Dateien in meinen React-Projekten zustanden kommen.

    Gerade mal von einem kleinen Tool von mir gezählt: 48.385 Dateien

    Dementsprechend viel Spaß macht das Entwickeln auf Windows-Kisten. Nur wegen der Indizierung der Dateien bin ich auf ein Unix-System umgestiegen. Es wurde einfach irgendwann unmöglich damit zu arbeiten...

  3. Re: Fühle mich bestätigt

    Autor: TheUnichi 16.12.19 - 14:58

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Ich habe 2017 mal einen Vortrag in einer Firma gehalten, wo es um meine
    > Einschätzung zur Sicherheit von JavaScript und Node.js in
    > Sicherheitsbereichen ging. Meine Einschätzung war vernichtend: ich kam nach
    > Prüfung zu dem Schluss, dass man sich mit Node.js praktisch den Trojaner
    > schon vorinstalliert, denn niemand kann auch nur im entferntesten
    > überblicken was für Code man sich da rein läd, und Sicherheitsmaßnahmen
    > gibt es praktisch nicht.
    >
    > Jetzt, nach so "Bomben" wie dem Rückzug von elementaren Paketen, dem
    > Problem unsignierter Installationen, völlig unsicherer Passwörter der
    > Maintainer, und jetzt eben auch noch ausführbare Dateien fühle ich mich
    > bestätigt. Die ganze Node-Welt ist und bleibt ein Frickelwerk, das für
    > Webseiten gerade noch geeignet ist, für Serveranwendungen aber ein völlig
    > unakzeptables Risiko darstellt. Sowohl für die Datensicherheit als auch für
    > den Erfolg jedes Projekts. Das Schlimmste aber ist, dass die Community das
    > genau so absolut toll findet.

    Und was bitte soll da bei anderen Paketmanagern und Sprachen anders sein? Was hat das mit JS zu tun?

    Diese Probleme existierten zu bestimmten Zeitpunkten in jeder einzelnen Sprache oder sie tun es noch heute aber die Sprachen werden nicht annähernd so intensiv genutzt.

    Am Ende ist es der Entwickler, der entscheidet, wie sicher seine Applikation ist. Wer wild fremde Pakete installiert ohne auch nur ansatzweise zu prüfen, was darin enthalten ist, würde sich ja genau so gut auch Malware auf Porn-Seiten herunterladen und installieren, benötigt exakt dieselbe Unvorsichtigkeit.

    An diesen Problemen ist weder JavaScript noch das Prinzip eines Paket-Managers schuld. Das ist der größe des Ökosystems und dem schnellen Wachstum von JS zu verschulden.

    Deinen Vortrag hätte ich zu gerne gehört und zerlegt. Lässt sich anhand deines Posts nämlich schon abzeichnen, dass du da Vorträge über etwas hältst, von dem du absolut keine Ahnung hast.

  4. Re: Fühle mich bestätigt

    Autor: Keto 16.12.19 - 18:19

    tomate.salat.inc schrieb:
    --------------------------------------------------------------------------------
    > Was ich auch überhaupt nicht nachvollziehen kann. Was da für Pakete zu
    > finden sind ist einfach nur unverständlich. Mein liebstes Beispiel das
    > hier:
    >
    > github.com

    Hier das gleiche in NuGet:
    https://www.nuget.org/packages/IntegerHelper/

    Und hier in PyPi:
    https://pypi.org/project/even-tester/

    Gibt halt Leute die meinen es wäre gut alles in möglichst kleine Module zu packen. Ist nicht nur bei npm so.

    Es kommt nicht darauf an was angeboten wird, sondern was man verwendet.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Lufthansa Industry Solutions AS GmbH, Norderstedt
  2. Obermeyer Planen + Beraten GmbH, München
  3. EDAG Engineering GmbH, Wolfsburg
  4. Schwarz Dienstleistung KG, Raum Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Akkutechnik: In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus
Akkutechnik
In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus

In unserer Artikelserie zu Akku-FAQs geht es diesmal um bessere Akkus, um mehr Akkus und um Akkus ohne seltene Rohstoffe. Den Wunderakku, der alles kann, den gibt es leider nicht. Mit Energiespeichern ohne Akku beschäftigen wir uns später in Teil 2 dieses Artikels.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos BASF baut Kathodenfabrik in Brandenburg
  2. Joint Venture Panasonic und Toyota bauen prismatische Zellen für E-Autos
  3. Elektromobilität EU-Kommission genehmigt europäisches Batterieprojekt

Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

  1. Chevrolet Menlo: GM stellt günstiges Elektroauto für China vor
    Chevrolet Menlo
    GM stellt günstiges Elektroauto für China vor

    China ist der größtes Markt für Elektroautos. Der US-Automobilkonzern General Motors wird sein nächstes Elektroauto, den Chevrolet Menlo, deshalb nur dort verkaufen. Ob das vergleichsweise günstige Auto später auch anderswo erhältlich sein wird, ist unklar.

  2. Patent: Spekulationen über Biofeedback und die Playstation 5
    Patent
    Spekulationen über Biofeedback und die Playstation 5

    Eine große Neuerung der Playstation 5 hat Sony offenbar noch nicht angekündigt. Nun führt eine Patentanmeldung zu Spekulationen: Geht es um Biofeedback? Das gab es eigentlich schon - allerdings nur in einer Spezialversion von Tetris.

  3. Android: Google stellt finale Version von Android Studio 3.6 vor
    Android
    Google stellt finale Version von Android Studio 3.6 vor

    Mit der finalen Version von Android Studio 3.6 soll es für Android-Programmierer noch einfacher werden, Apps zu erstellen. Neu sind unter anderem Möglichkeiten, Fehler schneller zu finden und zu beheben sowie die Unterstützung für Geräte mit mehreren Displays - etwa Falt-Smartphones.


  1. 13:12

  2. 12:55

  3. 12:40

  4. 12:21

  5. 12:17

  6. 11:48

  7. 11:39

  8. 11:27