Bei Maven ist es genau genommen NICHT "üblich, Abhängigkeiten direkt als URL anzugeben". Abhängigkeiten werden anhand einer GroupId und einer ArtifactId sowie einer Versionsnummer definiert. So oder so ähnlich ist es bei anderen Dependency-Management Systemen auch. Diese Dependency-Definitionen werden dann von einer oder meheren Paketquellen abgefragt. Definiert man keine eigene Paketquellen, nutzt Maven per default das Central-Repository, welches per HTTPS angesprochen wird. Nur, wenn man eigene Repositories definiert, weil man z.B. organisationsinterne Abhängigkeiten nicht im Central-Repo veröffentlichen möchte, hat man die Option, auf HTTP zurückzugreifen und entsprechend ein Einfallstor zu öffnen. Das ist aber ein reines Konfigurationsproblem - weniger eines von Maven und komplett unabhängig von Java. Ich verstehe natürlich, dass Artikel mit Java im Header sich besser klicken lassen ;) 1 mal bearbeitet, zuletzt am 11.06.19 12:17 durch ernstl.

Vielleicht mal den ursprünglichen Artikel lesen bevor du dir ein Urteil erlaubst, wie ernst das Problem ist.

z3r0t3n schrieb: -------------------------------------------------------------------------------- > Vielleicht mal den ursprünglichen Artikel lesen bevor du dir ein Urteil > erlaubst, wie ernst das Problem ist. Hab ich irgendwo die Kritikalität des Problems bewertet? Wenn ja, dann unbeabsichtigt. Ich wollte lediglich darauf hinweisen, dass es sich um ein im wahrsten Sinne des Wortes handgemachtes Problem bzw. eine Fahrlässigkeit der "Projekteigentümer" handelt. Ich kann auch z.B. mein Apache oder Nginx unsicher konfigurieren. Das ist dann aber meine Schuld und nicht die von Apache oder Nginx. 1 mal bearbeitet, zuletzt am 11.06.19 12:56 durch ernstl.

Tolle Erkenntnis - Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

‹
Thema
›

Neues Thema

Tolle Erkenntnis

Autor: ernstl 11.06.19 - 12:16

Bei Maven ist es genau genommen NICHT "üblich, Abhängigkeiten direkt als URL anzugeben". Abhängigkeiten werden anhand einer GroupId und einer ArtifactId sowie einer Versionsnummer definiert. So oder so ähnlich ist es bei anderen Dependency-Management Systemen auch.

Diese Dependency-Definitionen werden dann von einer oder meheren Paketquellen abgefragt. Definiert man keine eigene Paketquellen, nutzt Maven per default das Central-Repository, welches per HTTPS angesprochen wird.

Nur, wenn man eigene Repositories definiert, weil man z.B. organisationsinterne Abhängigkeiten nicht im Central-Repo veröffentlichen möchte, hat man die Option, auf HTTP zurückzugreifen und entsprechend ein Einfallstor zu öffnen. Das ist aber ein reines Konfigurationsproblem - weniger eines von Maven und komplett unabhängig von Java.

Ich verstehe natürlich, dass Artikel mit Java im Header sich besser klicken lassen ;)

1 mal bearbeitet, zuletzt am 11.06.19 12:17 durch ernstl.
Re: Tolle Erkenntnis

Autor: z3r0t3n 11.06.19 - 12:39

Vielleicht mal den ursprünglichen Artikel lesen bevor du dir ein Urteil erlaubst, wie ernst das Problem ist.
Re: Tolle Erkenntnis

Autor: ernstl 11.06.19 - 12:46

z3r0t3n schrieb:
--------------------------------------------------------------------------------
> Vielleicht mal den ursprünglichen Artikel lesen bevor du dir ein Urteil
> erlaubst, wie ernst das Problem ist.

Hab ich irgendwo die Kritikalität des Problems bewertet? Wenn ja, dann unbeabsichtigt.

Ich wollte lediglich darauf hinweisen, dass es sich um ein im wahrsten Sinne des Wortes handgemachtes Problem bzw. eine Fahrlässigkeit der "Projekteigentümer" handelt.

Ich kann auch z.B. mein Apache oder Nginx unsicher konfigurieren. Das ist dann aber meine Schuld und nicht die von Apache oder Nginx.

1 mal bearbeitet, zuletzt am 11.06.19 12:56 durch ernstl.

‹
Thema
›

Neues Thema

Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Tolle Erkenntnis

Tolle Erkenntnis

Autor: ernstl 11.06.19 - 12:16

Re: Tolle Erkenntnis

Autor: z3r0t3n 11.06.19 - 12:39

Re: Tolle Erkenntnis

Autor: ernstl 11.06.19 - 12:46