1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Datenleck: 21 Terabyte privater…

Ohne den Artikel gelesen zu haben: Mal wieder AWS?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: AntonZietz 13.12.21 - 15:53

    AWS und ungesichertes Bucket oder DB Credentials hard-gecoded in der App?

  2. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Dreiundachzig 13.12.21 - 15:57

    Naja, AWS kann nichts dafür. Die Entwickler der App müssen gefeuert werden. Zugangsdaten gehören nicht in den Quellcode. Und den Inhalt nicht zu verschlüsseln ist auch fahrlässig.

  3. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Anonymouse 13.12.21 - 15:58

    Lies den Artikel doch einfach.

  4. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: AntonZietz 13.12.21 - 17:03

    Lol, DB Credentials (token) hard-gecoded in der App!

    100 Gummipunkte für mich... Immer die gleichen Fehler, immer wieder.

  5. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: AllDayPiano 13.12.21 - 21:03

    Ich denke, dass sich kaum einer dafür bewusst entscheidet. Eher, dass man aus Faulheit beim Debugging die Credentials hart reinkloppt, und hinterher auf Grund der Code-Komplexität gar nicht mehr weiß, wo überall das Zeug drinnen steht.

    Ich mache es ja auch nicht anders und hacke die SAP Zugangsdaten in den Quelltext rein. Einfach, weil die Loginverwaltung im compilierten Zustand vom aufrufenden Prozess verwaltet wird, und ich in der IDE sonst bei jedem Lauf die Daten eintippen müsste.

    Aber da verwenden wird das nur Betriebsintern. Im schlimmsten Fall schmeißt es nach ein paar Wochen Fehler, weil die Zugangsdaten geändert wurden, und der Code läuft nicht mehr.

    Im Nachgang bin ich dann selbst überrascht, wo überall im Quelltext die Credentials drinnen stehen.

    Und man muss auch dazu sagen, dass der SAP-Benutzer, der im Code ist, fast ausschließlich Leserechte hat und keinerlei Zugriff auf sensible Daten hat.

    Alles, was oben steht, ist eine Meinung. Meine Meinung.



    1 mal bearbeitet, zuletzt am 13.12.21 21:05 durch AllDayPiano.

  6. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Kein Kostverächter 14.12.21 - 09:05

    Trotzdem, klug ist das nicht. Credentials (selbst scheinbar wertlose) gehören einfach niemals in den Quellcode. Man kann die Debug-Version seiner Anwendung so bauen, dass sie auch Credentials als Kommandozeilenparameter annehmen kann oder nutzt eins diverser Automatisierungstools.
    Alles, was im Kompilat landet hat als öffentliche Information zu gelten.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  7. Re: Ohne den Artikel gelesen zu haben: Mal wieder AWS?

    Autor: Xennor 14.12.21 - 09:14

    Dreiundachzig schrieb:
    --------------------------------------------------------------------------------
    > Naja, AWS kann nichts dafür. Die Entwickler der App müssen gefeuert werden.
    > Zugangsdaten gehören nicht in den Quellcode. Und den Inhalt nicht zu
    > verschlüsseln ist auch fahrlässig.

    Das "lustige" ist, dass es eine externe Agentur war die das verbrochen hat.
    Man müsste mal die anderen Apps (aus den Referenzen) checken ob die dort genau so doof waren.

    https://www.bitsfabrik.com/ (aus dem Impressum https://www.zapptales.com/de/impressum/)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Projektleiter / Data Warehouse Architect (m/w/d)
    Statistisches Landesamt Rheinland-Pfalz, Bad Ems
  2. Linux- und Datenbankadministrator*in (m/w/d)
    Stadt Mülheim (Ruhr), Mülheim an der Ruhr
  3. Project Manager (m/f/d)
    GCP - Grand City Property, Berlin
  4. Softwareentwickler (m/w/d) Legacy Systeme / Sozialwesen
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), verschiedene Standorte

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (stündlich aktualisiert)
  2. 18,49€
  3. 3,49€
  4. ab 69,99€ (inkl. digitaler Bonusinhalte + Lanyard im God of War-Design)


Haben wir etwas übersehen?

E-Mail an news@golem.de