Da wird es schwierig. Bei proprietärer Software kann man wohl nur relativ sicher gehen, in dem man sich an den Hersteller-Support wendet. Und hofft, dass die ihre Codebasis einigermaßen im Griff haben. ---- Dieser Beitrag wurde zuerst in der U-Labs Community veröffentlicht und automatisch auf KZbin gespiegelt. Screenshots und andere Formatierungen können hier mangels Unterstützung von YT nicht angezeigt werden. Du findest ihn im Original (inkl. möglicher Ergänzungen & Antworten anderer Mitglieder) unter folgendem Link: u-labs.de/forum/webentwicklung-171/385-000-webseiten-wegen-leichtsinnigen-drittanbieter-abhaengigkeiten-gehackt-das-polyfill-disaster-41469?p=452934&viewfull=1#post452934

Mit uMatrix konnte man das blocken, aber das Plugin wird leider nicht mehr aktiv gepflegt (funktioniert aber noch)

Auf sichere Seiten gehen die secure storage anbieten

Anscheinend wird der Hinweis auf das Plugin geblockt. Es gibt eines mit einem u am Anfang und Matrix danach, das genau das kann. Damit kannst du, genau einstellen, von welchen Seiten du externe Inhalte laden und ausführen möchtest. Es verhindern also genau das in dem Video beschriebenen Szenario (aber wenn du der Seite an sich vertraust und möchtest das sie funktioniert, dann hätte dir das auch nichts geholfen, da ja die Seitenanbieter den CDN vertraut haben)

@@iamwitchergeraltofrivia9670 Niemand sucht sich Seiten nach diesem Kriterien aus. Zumal du i.d.R. nicht weißt, welche Servertechniken und Dienste ein Anbieter nutzt.

Als Benutzer wird es wesentlich schwieriger. Du kannst mit Erweiterungen wie uMatrix einstellen, dass Drittanbieter-Bibliotheken nicht geladen werden. Das wird allerdings bei einigen Seiten dazu führen, dass die nicht mehr (richtig) funktionieren. In dem Fall müsstest du die händisch prüfen oder im Zweifel auf den Besuch der Seite verzichten. Schlussendlich macht das einiges an Arbeit und ist keine Lösung die still im Hintergrund arbeitet, wie das z.B. bei Werbeblockern meistens der Fall ist. Aus diesem Grunde habe ich es nicht mit in den Beitrag aufgenommen. Für die meisten Nutzer wird das nicht alltagstauglich sein. Die beste Lösung wäre, wenn die Seitenbetreiber sich ernsthaft mit dem Thema Sicherheit befassen und die genannten Maßnahmen umsetzen. ---- Dieser Beitrag wurde zuerst in der U-Labs Community veröffentlicht und automatisch auf KZbin gespiegelt. Screenshots und andere Formatierungen können hier mangels Unterstützung von YT nicht angezeigt werden. Du findest ihn im Original (inkl. möglicher Ergänzungen & Antworten anderer Mitglieder) unter folgendem Link: u-labs.de/forum/webentwicklung-171/385-000-webseiten-wegen-leichtsinnigen-drittanbieter-abhaengigkeiten-gehackt-das-polyfill-disaster-41469?p=452748&viewfull=1#post452748

Es liegt sicherlich nicht ausschließlich an den Entwicklern, in dem Punkt gebe ich dir Recht. Lediglich fertige Komponenten zusammen zu kleben, ist ja relativ verbreitet. Am Ende hat man schnell zig Pakete und Frameworks drin, die grundsätzlich auch funktionieren. Aber zusätzlich halt noch zig weitere Funktionen abdecken. Das bringt Komplexität, die am Ende keiner mehr durchblickt und zu Katastrophen wie log4j führt. Wenn das besser werden soll, müssen wir also mehr das Gegenteil machen: Falls Abhängigkeiten notwendig sind, muss man sie verstehen. Wer sich die Log4j Konfigurationsparameter angeschaut und JNDI versteht, dem hätte klar sein können, dass es ein Problem ist. Baut man das Paket ein, übernimmt per C&P den Beispielcode, funktioniert der Code. Aber mit solchen schnell zusammengebastelten Sachen hat keiner ein Verständnis davon. Weder der Inder, der auf Fiver & co. billig irgendwas zusammen bastelt. Der Käufer, der im schlimmsten Falle noch weniger davon versteht, erst Recht nicht. Wenn so was jedoch die Strategie der Führungskräfte ist, hat man ohne Umdenken keine Chance. Dass die Problematik vielen Entwicklern klar sein soll und die auf Anweisung des Chefs wider besten Wissens handeln, bezweifle ich jedoch unabhängig davon. Ich sehe das hier regelmäßig, wo die Entwickler recht viel Einfluss darauf haben, was sie nutzen. Die entscheiden sich für zig externe Bibliotheken und nehmen das dann gerne universell. Es wird also weniger darauf geschaut, was für den jeweiligen Anwendungszweck sinnvoll ist. Sondern man erschlägt alles mit z.B. Angular & co. Zu meinem Log4j Beitrag gab es Kommentare, bei ihnen sieht es ähnlich aus. Alleine die zwei Pakete is-even und is-odd belegen, dass es sich dabei leider nicht um verzerrende Einzelfälle handelt. Die haben mehrere hunderttausend Downloads pro Woche. Und das sind nur zwei Beispiele, bei denen es anhand der gezeigten Kriterien für jeden in wenigen Sekunden nachprüfbar ist, wie schwachsinnig das ist. Wer nach z.B. "NodeJs check is even" sucht, findet eine Stackoverflow-Frage mit derzeit 519.000 Aufrufen in 13 Jahren. Weitaus weniger klicken also auf die Frage, als das Modul herunterladen. In der ersten Antwort wird gezeigt, wie man mit jeweils einer Zeile Code prüfen kann, ob eine Zahl gerade oder ungerade ist. Wenn da schon so viele drauf rein fallen, wie wird es erst bei weniger offensichtlichen Dingen aussehen? Wahrscheinlich noch schlimmer. Als gelernter FiAE wundert mich das leider auch nur bedingt. In der Ausbildung war das nie ein Thema. Dort haben schon andere essenzielle Dinge (z.B. Versionsverwaltung oder Dokumentation) gefehlt. Dort lernt man nicht die notwendigen Grundlagen, um vernünftig arbeiten zu können. Sondern eine Teilmenge, die einen für die Grundlagen vorbereitet. Der Unternehmensteil hängt stark davon ab, wie interessiert die Leute in den Abteilungen sind, vernünftig zu arbeiten. Bei SAP z.B. habe ich ärger gekriegt, weil ich Git vorgeschlagen habe, statt Änderungen in einem riesigen Template am Anfang des Codes zu dokumentieren. Andere Azubis sind nicht mal mit derartigen Systemen in Berührung gekommen, weil die großteils Support oder VBA-Schweinereien in MS Excel zusammengebastelt haben. Bei den Studenten klang es etwas weniger schlecht. Die haben zumindest die Zeit, um das eine oder andere zusätzliche relevante Thema zu behandeln sowie manches zu vertiefen. In Kombination mit der von dir erwähnten, oft stattfindenden Erwartungshaltung "nur das Ergebnis zählt" haben die auch wenig Motivation, sich mit so was auseinander zu setzen. Ich hatte die Diskussion ebenfalls schon, weil (Sicherheits-) Updates aufgeschoben werden sollten, um funktionelle Sachen umzusetzen. Der Tenor: Sicherheit ist schon wichtig, aber das sieht keiner. Außerdem ist es ja nur intern, machen wir später irgendwann. Wenn wir die anderen Sachen später machen, bekommen wir Stress. In den Unternehmenswerten steht aber, Sicherheit und Integrität gehören zu den wichtigsten Werten. So was sind am Ende PR-Aussagen, wie es nach jedem Hack heißt "Der Schutz ihrer Daten hat oberste Priorität". Meistens hatte er das nicht, wenn die Daten weggekommen sind. Nachdem das beinahe zu einem Angriff geführt hat, stieg die Sensibilisierung. Hat über die Zeit allerdings wieder nachgelassen, insbesondere seit dem gespart werden soll. Passiert was, kann man es auf die "hohe kriminelle Energie" der "extrem professionellen Hacker" schieben. Mich wundert ja, dass anscheinend keinem auffällt, wie gefühlt nahezu jeder von absoluten Profi APT Hackern angegriffen wird. Ich habe noch nie gelesen, dass gewöhnliche 0815 Kriminelle leichtes Spiel haben, weil die Umgebung schlecht gesichert war. Das kommt nur indirekt im Nachhinein raus, als z.B. SolarWilds eingestehen musste, ihr Passwort war "solarwinds123" und wurde auch noch versehentlich im Netz veröffentlicht. Bei anderen Delikten macht so was das Meiste aus. Die meisten Diebstähle sind schließlich auch keine Profi-Gans, welche das wie im Film 3 Jahre vorher bis ins Detail planen. Gibt es natürlich auch, aber der weitaus größere Teil sind durchschnittliche Taschendiebe, die nach einfachen Gelegenheiten suchen. ---- Dieser Beitrag wurde zuerst in der U-Labs Community veröffentlicht und automatisch auf KZbin gespiegelt. Screenshots und andere Formatierungen können hier mangels Unterstützung von YT nicht angezeigt werden. Du findest ihn im Original (inkl. möglicher Ergänzungen & Antworten anderer Mitglieder) unter folgendem Link: u-labs.de/forum/webentwicklung-171/385-000-webseiten-wegen-leichtsinnigen-drittanbieter-abhaengigkeiten-gehackt-das-polyfill-disaster-41469?p=452605&viewfull=1#post452605

@@ULabs jo, das mit is-even / is-odd ist ein absolutes Armutszeugnis. DAS verstehe ich wirklich nicht. Ist unsere Branche so tief gesunken? Wie läuft das ab? Wie kommt so jemand an den entsprechenden Job? -> ist wieder auch der dran Schuld, der den Dev bezahlt. Die Auftraggeber sind absolut in keinster Weise dazu in der Lage überhaupt eine Qualitätskontrolle durchzuführen. Überhaupt eine Einschätzung über die Qualität eines digitalen Erzeugnisses abzugeben. Die checken es selbst nicht mals, wenn sie ihre ranzige Website aufmachen und der CPU-Lüfter am Laptop ans Limit läuft. Wie kommt sowas sonst in den Stack größerer, "professioneller" Websites?? Da kann heute jeder *irgendwas* verkaufen. Gerade in dieser Marketing-Branche wird ein Ranz verkauft und da feiern die sich für, da hab ich keine Lust mehr WebDev zu sein ...

Ich hab versucht, z.B. beim IAB Austria Vorträge zu halten für Marketing-Schwachmaten zu technischen Themen, KI, Security, DatenManagement ... so dass man ein bisschen mehr Sachlichkeit rein bekommt und das solche Flitzpiepen das mal auch durch eine realistische Brille sehen können ... wurde ersetzt durch einen Fuzzi von McKinsey ...

Warum entschuldigen? Wenn du das denen lokal auf deren Systeme lädst (so verstehe ich das mal) und sogar noch drüber schaust, ist das ja vorbildlich. So sollte es sein, statt ungeprüft wild irgendwelche Sachen von Drittanbieter-Servern einzubinden :) ---- Dieser Beitrag wurde zuerst in der U-Labs Community veröffentlicht und automatisch auf KZbin gespiegelt. Screenshots und andere Formatierungen können hier mangels Unterstützung von YT nicht angezeigt werden. Du findest ihn im Original (inkl. möglicher Ergänzungen & Antworten anderer Mitglieder) unter folgendem Link: u-labs.de/forum/webentwicklung-171/385-000-webseiten-wegen-leichtsinnigen-drittanbieter-abhaengigkeiten-gehackt-das-polyfill-disaster-41469?p=452834&viewfull=1#post452834