Es wird ja durchaus (auch manchmal zurecht) über Frontendschubser hergezogen, dazu hier was schönes: https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
Das ist doch nicht nur bei Web so. Opensource-Entwickler haben ganz allgemein kein Bewußtsein für die Problematik von Dependencies. Sieh Dir eine Linux-Distri an, was da jeder Furz für Dependencies hat, und damit meine ich nicht, daß z.B. Gnome-Anwendungen natürlich von Gnome abhängen. Die Frickler denken, daß das Paketmanagement die Probleme löst, aber tatsächlich macht es sie nur einigermaßen handhabbar. Der Testaufwand explodiert aber, die Robustheit sinkt, und die Sicherheit natürlich auch. Niemand macht Codereviews, wie man selbst bei einem sehr wichtigen Projekt wie OpenSSL gesehen hat, und das wird bei weniger entscheidenden Projekten noch schlimmer sein.
> Sieh Dir eine Linux-Distri an Irgendwas ist da total schief gelaufen. Stallman begann mit der Freien Software, weil er einen Bug in einem Druckertreiber fixen wollte, aber nicht durfte. Heutzutage ist alles frei, aber hoffnungslos aufgeblasen. Wir könnten alles fixen, finden aber nicht mal das Paket, in dem sich der Bug fixen lässt. Das meiste davon wollen wir doch gar nicht haben. 100 verschiedene Protokolle im SSL. Mir genügt eines. 1000 verschiedene Videokodierungen -- nur weil der eine Patentgebühren kassieren will, die der andere aber nicht bezahlen will. Lesen hier Mozilla Entwickler mit? Ich will euer Pocket nicht! Lesen hier Webseiten-Gestalter mit? Ich will Seiten, die auch ohne Javascript die Inhalte anzeigen. P.S. >wie man selbst bei einem sehr wichtigen Projekt wie OpenSSL gesehen hat Die Lücke wurde gefunden! Schon alleine das beweist doch - zumindest Einer macht Codereviews.
Website ohne Javascript :))) Revoluzzer, wo doch HTML5 und Ajax so Hip ist. Aber hast Recht, schon der Overhead an jQuery der immer mit geladen wird.
Abradolf L. schrieb: > Es wird ja durchaus (auch manchmal zurecht) über Frontendschubser > hergezogen, dazu hier was schönes: > > https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5 Wobei man der Fairness halber dazu sagen sollte, dass der Autor ganz am Ende seines Artikel freimütig zugibt, dass das Alles gar nicht der Wahrheit entspricht, und er lediglich zeigen wollte, wie extrem simpel es wäre, so etwas umzusetzen. Das ist letztlich ein Clickbait-Artikel, der mit einer fiktiven Geschichte ein reales (und durchaus bekanntes) Problem beschreibt.
Na ja, clickbait.. Dann sind zur Zeit sämtliche Artikel zu Spektre und Meltdown erst recht clickbait. Oliver
Oliver S. schrieb: > Na ja, clickbait.. Wie würdest Du es sonst bezeichnen? Statt eine reisserische, falsche Tatsachen vortäuschende Überschrift wie "Ich stehle Kreditkartennummern und Passwörter von Deiner Webseite, und zwar so:" zu benutzen, dann eine fiktive Horror-Story aufzutischen und dies erst ganz am Ende aufzuklären, hätte der Autor seinen Artikel ja auch "Wie man vglw. leicht Kreditkartennummern und Passwörter von fremden Webseiten stehlen könnte" nennen können, und das zugrundeliegende Angriffsszenario dann nüchtern und sachlich beschreiben können. Dann hätte der Artikel allerdings viel weniger Aufmerksamkeit erzeugt, und Fefe & Co. hätten vermutlich nie darauf verlinkt.
> Website ohne Javascript :)))
mikrocontroller.net beweist: Es geht, ist schnell, kein nervtötender
Flackerkram und keine Tracker.
Die Marketingfuzzis haben uns nur eingeredet, JS sei Hip, damit wir
deren Tracker nicht mehr lahmlegen können.
ja sicher geht es, das war auch ironisch gemeint .... hab erst die Tage mal Sites vom Wettbewerb durchgecheckt ... Ergebnis: 99% erstellt von Agentur, teilweise vor Äonen, optisch ansprechend gemacht aber inhaltsleer UND technisch ne Katastrophe. Teilweise noch Flash, bei neueren jQuery, praktisch komplett darauf basierend ... CMS von der Stange und optisch aufgeblasen. Responsive ja, aber datenoverhead ohne Ende. Da sind Grafiker am Werk, die sich nicht die Bohne um Bits & Bytes scheren.
Noch einer schrieb: >> Website ohne Javascript :))) > > mikrocontroller.net beweist: Es geht, ist schnell, kein nervtötender > Flackerkram und keine Tracker. Ein echtes Positivbeispiel, und die einzige Seite bei mir, die sowohl Skripte als auch Werbung darf. Skripte aber nur von microcontroller.net. Daher mal ein Lob dafür! Die Javascript-Pest hat ausmaße angenommen, die sämtlichen Rahmen sprengen. Einige Seiten nutze ich inzwischen nicht mehr. Bei FAZ oder Süddeutsche beispielsweise bekomme ich nur noch leeren Bildschirm. Ich bin schlich zu faul, für die Seiten die Einstellungen zu finden, die sowohl das ungestörte Betrachten der Seite als auch die Darstellung von Text erlauben. Das Web in der gewohnten Form ist so gut wie tot...
Joachim S. schrieb: > Oliver S. schrieb: >> Na ja, clickbait.. > > Wie würdest Du es sonst bezeichnen? Ach je, man sollte die amerikanische Art der Werbung nicht überbewerten. Und weils so schön zum Thema passt, hier der passende aktuelle Artikel von Heise zum Thema: https://www.heise.de/developer/meldung/Open-Source-Tool-zum-Signieren-von-npm-Paketen-veroeffentlicht-3939665.html Da deutet die harmlose Überschrift überhaupt nicht auf die Brisanz des Themas hin. Was ist dir nun lieber? Oliver
Noch einer schrieb: >> Website ohne Javascript :))) > > mikrocontroller.net beweist: Es geht, ist schnell, kein nervtötender > Flackerkram und keine Tracker. µc.net benutzt doch google-analytics - fungiert das nicht u.A. auch als Tracker?
Joachim S. schrieb: > Noch einer schrieb: >>> Website ohne Javascript :))) >> >> mikrocontroller.net beweist: Es geht, ist schnell, kein nervtötender >> Flackerkram und keine Tracker. > > µc.net benutzt doch google-analytics - fungiert das nicht u.A. auch als > Tracker? Überall wo Google drauf steht wird geschnüffelt. Google - immer blockieren.
Weingut P. schrieb: > Aber hast Recht, schon der Overhead an jQuery der immer mit geladen > wird. Pfft, das sind minified 100kB, und bei gescheiter Server-Config werden .js-Dateien mit gzip komprimiert, und dann landet man bei 30kB. Problematisch ist allerdings, daß JS für quasi-statische Dinge genutzt wird, die man genausogut mit CSS3 und HTML5 machen kann, was erheblich performanter ist.
Orman schrieb: > Joachim S. schrieb: >> Noch einer schrieb: >>>> Website ohne Javascript :))) >>> >>> mikrocontroller.net beweist: Es geht, ist schnell, kein nervtötender >>> Flackerkram und keine Tracker. >> >> µc.net benutzt doch google-analytics - fungiert das nicht u.A. auch als >> Tracker? Und googletagservices. > Überall wo Google drauf steht wird geschnüffelt. Google - immer > blockieren. Wenn man das bei µC.net tut, tun aber auch mache Sachen nicht mehr. Generell verstehe ich nicht so ganz, warum man die halbe Webseitenfunktionalität auf irgendwelche anderen Webserver auslagert. Das ist bei µC.net ja noch sehr moderat. Bei manchen Seiten ist das echt schlimm, da werden dann Javascripte von 15 verschiedenen Domains geladen, und ohne die funktioniert praktisch nix mehr. Ich will aber nicht, dass neben dem Anbieter der Seite noch 14 andere bescheid wissen, wo ich überall hingesurft und draufgeklickt habe. Die 14 anderen machen das ja auch nur, um diese Informationen zu Profilen zu verarbeiten, die sie dann gewinnbringend verkaufen können. In einer der letzten c'ts wurde auch erklärt, wie Seitenbetreiber in Echteit jede meiner Bedienaktionen im Browser verfolgen können, z.B. auch wenn ich in ein Textfeld etwas eingegeben und dann wieder gelöscht habe, wie lange ich zur Eingabe gebraucht habe, wie viele Fehler ich dabei gemacht habe u.s.w.
Zum Beispiel eine PM senden. Weil alles auf dieses ätzende Captcha-Zeug von Gurgel zurück greift. Käme es wenigstens NUR von µc.net ...
Rolf M. schrieb: > Ich will aber > nicht, dass neben dem Anbieter der Seite noch 14 andere bescheid wissen, > wo ich überall hingesurft und draufgeklickt habe. Ganz einfach: Nicht mehr im Internet surfen. Klingt blöd, ist aber so. Das einzige positive bei der Sache ist, daß bei 3-4 Milliarden surfenden Menschen im Netz der einzelne dann doch nur ein Rauschen in der Statistik ist. Oliver
Oliver S. schrieb: > Das einzige positive bei der Sache ist, daß bei 3-4 Milliarden surfenden > Menschen im Netz der einzelne dann doch nur ein Rauschen in der > Statistik ist. Du verkennst dabei, dass diese überbordende Datensammelei dazu dient, eben nicht lediglich Statistiken zu führen, sondern eine möglichst individualisierte/personalisierbare Zuordnung vornehmen zu können. Mal schauen, wie wir das in Zukunft handhaben wollen und werden. Blockchain-Technik bietet da feine Ansätze...
Honkomator schrieb: > Mal schauen, wie wir das in Zukunft handhaben wollen und werden. > Blockchain-Technik bietet da feine Ansätze... Du verkennst, daß Werbung das bisher und auch zukünftig einzige funktionierende Geschäftsmodell im Internet ist. Auch die ganze Datensammelei dient nur diesem einen Zweck. Da ist es nicht allzu schwierig, sich vorzustellen, wie das in Zukunft gehandhabt wird. Oliver
Oliver S. schrieb: > Du verkennst, daß Werbung das bisher und auch zukünftig einzige > funktionierende Geschäftsmodell im Internet ist. Auch die ganze > Datensammelei dient nur diesem einen Zweck. Ganz schön naiv ;-) Werbung ist doch harmlos. Social/Health Scoring ist das neue Ding.
Oliver S. schrieb: > Du verkennst, daß Werbung das bisher und auch zukünftig einzige > funktionierende Geschäftsmodell im Internet ist. Ich schätze, daß z.B. Reichelt nicht von der Werbung lebt, sondern vom Verkauf der Produkte, und Ebay von der Vermittlung von Käufen. Es betrifft vorwiegend die Medienbranche, die ihr altes Geschäftsmodell versucht hat, in wesentlich aufdringlicher Form online zu übertragen. Sie hat außerdem noch das Problem, daß kaum jemand bereit ist, für die Inhalte zu bezahlen, weil sie kein Geld wert sind - das ist aber ein hausgemachtes Problem. Woran es außerdem noch fehlt, ist die Möglichkeit zu anonymem Micropayment. Aber mit zunehmender Verbreitung von Adblockern jetzt auch seitens der Hersteller Apple und Google wird sich da schon was ändern. Wenn als Kollateralschaden die Werbebranche zusammenbricht, ist das nur begrüßenswert.
Nop schrieb: > Ich schätze, daß z.B. Reichelt nicht von der Werbung lebt, sondern vom > Verkauf der Produkte, und Ebay von der Vermittlung von Käufen. Natürlich. Das „Netz“ aber, inklusive Providern, und allem, was dazugehört, lebt von Werbung. Auch die Datensammler, die die Daten dafür sammeln, mir punktgenauere Werbung zuzustellen. Und all die Reichelts oder eBays bezahlen google oder facebook am Ende dafür, und auch noch dafür, die Werbung auszuliefern. Das bisschen Social oder Health scoring ist dagegen Krümelkacke. Oliver
Oliver S. schrieb: > Natürlich. Das „Netz“ aber, inklusive Providern, und allem, was > dazugehört, lebt von Werbung. Provider haben ein reales Produkt, was sie verkaufen können, und wofür es auch Nachfrage gibt. Ich zahle jedenfalls für meinen Netzzugang. Oder meinest Du Hosting-Provider mit Gratis-Webspace? Das ist doch schon längst wieder im Auslaufen begriffen. > Und all die Reichelts > oder eBays bezahlen google oder facebook am Ende dafür, und auch noch > dafür, die Werbung auszuliefern. Und genau das hat dann ein Ende, was auch gut so ist, weil Werbung sowieso kaum was bringt, außer die Produkte unnötig zu verteuern.
Nop schrieb: > Und genau das hat dann ein Ende, was auch gut so ist, weil Werbung > sowieso kaum was bringt, außer die Produkte unnötig zu verteuern. Jetzt bist du aber naiv... Oliver
Nop schrieb: > Woran es außerdem noch fehlt, ist die Möglichkeit zu anonymem > Micropayment. Aber mit zunehmender Verbreitung von Adblockern jetzt auch > seitens der Hersteller Apple und Google wird sich da schon was ändern. > Wenn als Kollateralschaden die Werbebranche zusammenbricht, ist das nur > begrüßenswert. Wovon lebt Google nochmal. Achso, Werbung, na dann wird sich aber bestimmt viel ändern :-)
Das Netz mit Werbung bezahlen? Vom Werbeetat der Unternehmen kommt nur ein kleiner Teil bei den Betreibern der Internetdienste an. Und der Werbeetat ist nur ein Bruchteil des Umsatzes. Damit so etwas funktioniert, müssen wir 100 mal so viel überflüssiges Graffel kaufen, wie das Internet kostet. Die punktgenaue Werbung bewirkt: Wir schliessen Kreditverträge für jede Menge überflüssiges Graffel ab. Und arbeiten den Rest unseres Lebens für die Banken. Dann noch ein anderer Aspekt. Die Datensammler bekommen so ganz langsam eine Macht, wie die mittelalterliche katholische Kirche. Wie verhindern wir, dass diese Leute ihre Macht missbrauchen? eine Art Feudalstaat aufbauen. Die Finanzinstitute halten uns arm und die Datensammler halten uns dumm. Und unser Parlament stimmt nur mehr über Diätenerhöhungen ab.
Oliver S. schrieb: > Jetzt bist du aber naiv... Kaum jemand klickt Onlinewerbung bewußt an, höchstens aus Versehen. Wenn nicht direkt Adblocker im Browser verwendet werden, dann sorgt Banner-Blindheit für Adblocking auf Layer 8. Das ist durchaus erforscht. Hmm schrieb: > Wovon lebt Google nochmal. Achso, Werbung, na dann wird sich aber > bestimmt viel ändern :-) Google hat genug Know-how, um auch anderweitig Geschäfte machen zu können. Das tun sie aber natürlich nicht, solange sie auch so guten Gewinn machen können. Ansonsten würden sie halt eingehen - na und, viele ehemalige große Firmen gibt's nicht mehr, das ist normal. Wozu es führt, wenn man Änderungen im Geschäftsmodell zu lange verweigert, das erlebt die Journalistik-Branche gerade.
Nop schrieb: > Google hat genug Know-how, um auch anderweitig Geschäfte machen zu > können. Das tun sie aber natürlich nicht, solange sie auch so guten > Gewinn machen können. Ansonsten würden sie halt eingehen - na und, viele > ehemalige große Firmen gibt's nicht mehr, das ist normal. Bei Google geht es nur darum, das Leben der Menschen zu verbessern. Jede Sekunde heilt Google Krebs, hilft Kindern, und rettet ein Einhorn. Heute hat Google den Impfstoff gegen Aids entwickelt, morgen ist der Warp-Antrieb dran. Selbstverständlich macht Google das alles nur, um das Leben der Menschen zu verbessern, und ist würde niemals Geld für die Leistungen verlangen. Zufrieden? Im Ernst: Wer soviel Geld wie Google in Forschung steckt, muss irgenwelche Resultate erzielen. Ich bin nicht beeindruckt - wenn man bedenkt, was diverse Startups mit winzigen Bruchteilen der Summen auf die Beine stellen, kommt bei Google vergleichseweise wenig heraus. Dazu kommt: Die haben nur eine einzige relevante Geldquelle: Werbung, und alles was dazugehört. 90% macht das aus, habe ich gelesen. Google verdient sein Geld also ausschließlich mit der Ausspähung der Weltbevölkerung zwecks maximaler Ausbeutung. Dazu wird gerne auch mit Diktaturen zusammengearbeitet. Dont be evil, my ass...
Also für meine Adwords bucht mir Google monatlich ab ... ja, ich zahle für Werbung, eben Adwords. Wenn man n substituierbares Produkt hat muss man eben Aufmerksamkeit erkaufen. Ob der potentielle Kunde kauft ist wieder ne andere Geschichte, aber insgesamt rentiert es sich schon. Man muss sich aber schon durch dicke Bretter bohren ... Google Adwords, Google Maps, Google Shopping ... unterschätzt nicht was da an Technik ins HTML rein gezimmert sein will, ist ziemlich biestig.
:
Bearbeitet durch User
Krawuttke schrieb: > Werbung ist doch harmlos. Social/Health Scoring ist das neue Ding. Allerdings erstmal nur in China. Nop schrieb: > Oliver S. schrieb: > >> Jetzt bist du aber naiv... > > Kaum jemand klickt Onlinewerbung bewußt an, höchstens aus Versehen. Wenn > nicht direkt Adblocker im Browser verwendet werden, dann sorgt > Banner-Blindheit für Adblocking auf Layer 8. Das ist durchaus erforscht. Deshalb gibt's ja Clickbait. > Google hat genug Know-how, um auch anderweitig Geschäfte machen zu > können. Das tun sie aber natürlich nicht, solange sie auch so guten > Gewinn machen können. Auf mich wirkt Google nicht wie eine Firma, die nach dem Motto vorgeht: "Wir könnten noch viel mehr einnehmen, aber das, was wir aktuell haben, reicht uns".
:
Bearbeitet durch User
Nop schrieb: > Die Frickler denken, daß das Paketmanagement die Probleme löst, aber > tatsächlich macht es sie nur einigermaßen handhabbar. Der Testaufwand > explodiert aber, die Robustheit sinkt, und die Sicherheit natürlich > auch. Weisst Du, ich mache seit ~10 Jahren freiwillig Linux-Support im IRC und nutze es aktiv seit >15 Jahren als Server und mittlerweile auch Desktop. 99% der Installationsprobleme kommen daher, daß ein User mit Computerbild-Fachwissen auf Biegen und Brechen irgendein src.gz zieht und make && make install laufen lässt was ungefragt irgendeine Library überbügelt. Wenn man dem Paketmanager nicht dazwischenpfuscht, dann ist das auch stabil. Oder für die Autofahrer: Solange man in seinem Mercedes nur Teile einbaut, die auch von Mercedes dafür freigegeben sind, ist man auch der sicheren Seite. Wenn ich allerdings mit Flex und Schweißgerät einen Lada-Vergaser einbaue, muß ich mich über Probleme nicht wundern (und mir bewußt sein daß das Bashing von Mercedes mich dann wie einen Idioten aussehen lässt). Noch einer schrieb: > Das meiste davon wollen wir doch gar nicht haben. 100 verschiedene > Protokolle im SSL. Mir genügt eines. 1000 verschiedene Videokodierungen > -- nur weil der eine Patentgebühren kassieren will, die der andere aber > nicht bezahlen will. Mir genügt ein Auto, was soll ich mit 100 Herstellern? Mir genügt ein Kohlewiderstand, was soll ich mit Metallfilm? Mir genügt ein Aldi-Schnitzel, was soll ich mit Bio-Schnitzeln? Anderen genügte ein Führer, was will man mit einem Parlament? Bloß weil es Dir nicht paßt, darf's auch kein anderer haben? Bist bestimmt einer von denen, die an der 10m Käsetheke sich über die mangelnde Auswahl beschweren :)
> Mir genügt ein Auto, was soll ich mit 100 Herstellern? Da ist ein grosser Unterschied: Ein Fehler, den einer der anderen 99 Hersteller macht, ist nicht dein Problem. Wenn aber in Ssh, Browser, oder Videoplayer 100 verschiedene Protokolle eingebaut sind, braucht nur ein einziges eine Schwachstelle. Und die Ganoven kommen auf deinen Rechner. > auf Biegen und Brechen irgendein src.gz zieht Zumindest da ist Land in Sicht. Ein konsistenter Satz Shared-Libraries kommt aus der Mode. Jeder Docker- oder Snappy-Container bekommt seine eigenen Libraries. Nur leider ergibt das 100 Sicherheitslücken multipliziert mit 100 alten Versionsständen. Dagegen sind ja sogar die 2000 Abhängigkeiten, die du dir mit dem npm einhandelst, vollkommen harmlos.
Noch einer schrieb: >> Mir genügt ein Auto, was soll ich mit 100 Herstellern? > > Da ist ein grosser Unterschied: Ein Fehler, den einer der anderen 99 > Hersteller macht, ist nicht dein Problem. Wenn aber in Ssh, Browser, > oder Videoplayer 100 verschiedene Protokolle eingebaut sind, braucht nur > ein einziges eine Schwachstelle. Und die Ganoven kommen auf deinen > Rechner. Mir war nicht klar, daß jeder Hersteller auch wirklich alles selber macht; vielleicht sollte mal einer über sowas wie eine Zulieferindustrie nachdenken. Und die Geschichte, daß Open Source per default unsicherer ist weil's so viele Forks und Protokolle etc gibt, erzählt man heute nicht mal mehr kleinen Kindern. > >> auf Biegen und Brechen irgendein src.gz zieht > > Zumindest da ist Land in Sicht. Ein konsistenter Satz Shared-Libraries > kommt aus der Mode. Jeder Docker- oder Snappy-Container bekommt seine > eigenen Libraries. Nur leider ergibt das 100 Sicherheitslücken > multipliziert mit 100 alten Versionsständen. Dagegen sind ja sogar die > 2000 Abhängigkeiten, die du dir mit dem npm einhandelst, vollkommen > harmlos. Hah, NPM. Die Erfindung cooler Hipster die mal sowas von keinen Plan davon haben wie man ein Repo aufbaut. Genausowenig wie die Nutzer, die noch nicht mal ein left-pad selber gebacken bekommen. Da paßt wirklich der Arsch auf den Eimer.
> vielleicht sollte mal einer über sowas wie eine Zulieferindustrie nachdenken. Da dürfte sich bald einiges ändern. In den OEMs sitzen mehr Bürokraten, als die Zulieferer Entwickler haben. Als Zulieferer musst du jeden Prozess und jeden Test der AEC oder des SPICE dokumentieren. Damit haben die eine Qualität erreicht - davon können alle Open-Source-Projekte und alle Softwarefirmen nur träumen. Nur leider wurde dadurch die Weiterentwicklung immer träger. Jetzt ist den Managern aufgefallen, sie wurden vom Silicon Valley, von Tesla und von Alibaba abgehängt. > weil's so viele Forks und Protokolle etc gibt Umgekehrt. Nicht mal Open-Source bekommt die Probleme in den Griff, die wir uns mit den überflüssigen Protokollen einhandeln. Das Sendmail Desaster. Damals, als es noch 100 E-Mail Protokolle gab, konnte das Sendmail zwischen allen Protokollen übersetzen. Die Unmassen an Sicherheitslücken wurden niemals gefixt. Durch SMTP wurde das Sendmail Überflüssig. Da liegt der Grund für die Sicherheit. Open-Source hat sich auf die RFCs geeinigt und alle anderen Protokolle ignoriert. Nur leider ist die Sendmail Generation inzwischen verstorben. Und die Open-Source Leute bauen wieder 100 überflüssige Protokolle ein. Die Hardblead-Erweiterung hat niemand gebraucht. Die wurde nur von Ganoven benutzt. > die mal sowas von keinen Plan davon haben Lass mal gut sein. Jede Generation glaubt, die alten Penner hätten keine Ahnung. Die neuste Hype Technologie sei besser. Das war schon immer so. Soweit wir die Geschichte zurück verfolgen können.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.