Anzeige:
Seite 1 von 4 123 ... LetzteLetzte
Ergebnis 1 bis 15 von 55

Thema: Yet Another NoSQL ungesichert im Netz vergewaltigt

  1. #1
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    1.923

    Yet Another NoSQL ungesichert im Netz vergewaltigt

    https://www.heise.de/newsticker/meld...r-3604563.html

    Als ich diese Nachricht gelesen habe, war mein erster Gedanke, wem darf ich jetzt langsam die Haut abziehen.

    Ich arbeite bei uns auch mit Elasticsearch, heisst ELK Stack und man muss Elastic haendisch absichern, weil Kibana das nicht unterstuetzt, da schau mal einer Grafana an, die koennen das.

    Unreife Software, geistig gestoerte Entwickler von (Ich Denke) Webentwicklerklitschen, die ihre Kunden gerade kaputt machen.
    In der ersten Meldung, als es noch um MongoDB ging, hiess es noch, nur 10% der Firmen hatten ein Backup.

    WTF ist Hirn ausgegangen, das sind Sachen, die bekommt man mit Pruegel allein auch nicht mehr hin.

    Eure Meinung
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  2. #2
    Universaldilletant Avatar von fork
    Registriert seit
    Dec 2001
    Ort
    Frankfurt/Main
    Beiträge
    977
    Na die einzige CouchDB einer eingerichteten Anwendung, die mir mal über den Weg gelaufen ist, war wohl auch im Auslieferungszustand. Sprich: für Administration komplett offen im Netz

    ... Vielleicht hätte er jemanden fragen sollen, der sich damit auskennt

  3. #3
    Registrierter Benutzer
    Registriert seit
    Sep 2003
    Beiträge
    2.949
    Zitat Zitat von Huhn Hur Tu Beitrag anzeigen
    ..
    In der ersten Meldung, als es noch um MongoDB ging, hiess es noch, nur 10% der Firmen hatten ein Backup.
    ...
    Eure Meinung
    soweit ich es gelesen / ueberflogen habe, besteht, das problem "nur" wenn die datenbank direkt aus dem internet ansprechbar ist.

    ...Wer MongoDB einsetzt, sollte zum Beispiel Port 27017 blocken....
    mir ist keine anwedung bekannt, wo die datenbank direkten zugriff aus dem internet braucht.

    somit stimmte ich @fork zu: ... Vielleicht hätte er jemanden fragen sollen, der sich damit auskennt
    ....

  4. #4
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    862
    Wenn der Chef "das so haben will" wäre das bestimmt nicht das erste System, das von unwissenden installiert wurde oder aus einer Praktikantentätigkeit entstanden ist und vor sich hin vegetiert.

    Verantwortung ist ja angeblich nicht "teilbar" also kannst du beim Haut abziehen schon mal in der GF anfangen und dich dann an den Befugnissen nach unten orientieren

    Ab mit dem Kopf
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  5. #5
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    1.923
    Das muss ins Internet, wenn ein Kack Hipster JS Bunt Graphen Fu daran angebunden werden soll, das auf so eine NoSQL drauf muss und damit das ja keine Last auf dem Webserver machen darf, das ist ja gerade Hip den Browser alles machen zu lassen, muessen die Clients eben auf die Datenbank.
    Man koennte das ja jetzt durch den Webserver schleusen, aber dafuer brauch man mehr als einen Projektleiter der sagt, "ich will das jetzt,d as ist toll".

    Intern ist das auch ein Problem, Elasticsearch laesst sich schoen per Rest aufraeumen und damit meine ich Indices loeschen.

    Das ganze Hipster Ze3uchs ist eben fuer Leute ohne IT Kenntnisse gemacht, das aergert mich.

    Und bei NoSQL koennen wir direkt weiter zu IoT zu Beratunsgresistentem Management zu ...
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  6. #6
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    1.966
    Tja so ist das heute leider - ein wenig Schadenfreude ist ehrlicherweise dabei

    Restful Irgendwas, wenn man sowas hört, ist das meistens kein gutes Zeichen. Aber klar so Buzzwords muss man können, also muss man auch NoSQL einsetzen, JS sowie, Responsive Designe auch wichtig wichtig

    Krass finde ich auch, dass dieses Argumentation "NoSQL ist unserer Retter, weil es keine festen Datenstrukturen braucht", am Ende oft in so einen Zustand "nicht mehr Handbar" läuft, der dann durch feste Strukturen aufgelöst werden soll. Ansonsten wirkt es auf mich so wie bei der Mode, kommt alles wieder zurück, LISP ist zB wieder da, heißt jetzt aber Closure - in ein paar Jahren, ist dann vermutlich die heiße ******e, seine JS Apps durch Binär-Code zu pimpen
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  7. #7
    Freelancer Avatar von TheDarkRose
    Registriert seit
    Jun 2009
    Ort
    Oberalm
    Beiträge
    669
    Zitat Zitat von nopes Beitrag anzeigen
    [..] in ein paar Jahren, ist dann vermutlich die heiße ******e, seine JS Apps durch Binär-Code zu pimpen
    Gibt's schon: http://asmjs.org/






    P.S.: Natürlich nur ein neuer Transpiler/Compiler der halt C/C++ zu Javascript macht, aber vom Namen her denkt man natürlich zuerst an Assembler in Javascript ^^
    Geändert von TheDarkRose (23.01.17 um 12:11 Uhr)
    foo bar

  8. #8
    Banned
    Registriert seit
    Feb 2005
    Beiträge
    1.149
    Warum?
    Die Verantwortung ist doch unteilbar.
    Weshalb Winterkorn nichts weiß, täglich knapp 4000€ kassiert und garantiert nicht Schuld ist.

    Ich hatte neulich auf einer Website mit dem Browser, nur weil ich zu faul war vor die Domain ein "www." zu setzen, Zugriff auf den Loginscreen des Zeiterfassungsystems (samt Türöffner) dieser Firma. 17-Jahre alte Software offen präsentiert von einem uralten nginx auf einem uralten Ubuntu. Praktischerweise waren die internen IPs gleich in Links mitoffenbart.

    Das hatte nun nichts mit supergeaky Buzz Hype zu tun.
    Schlicht Sorglosigkeit, fehlendes Problembewusstsein, Spardrang und zu wenig Wissen.
    Wie überall.

    Verantwortung ist ja unteilbar. Wird schon jemand Schuld sein. Irgendwo.

    Ich habe denen ihre bedenkliche Situation in einer Mail beschrieben.
    Sie haben nicht einmal geantwortet.

    Wozu auch? Sie sind ja nicht schuld. Irgendwo wird schon da oben einer Schuld sein.
    Verantwortung ist ja unteilbar.

    Ich lese solche Katastrophen immer gerne, bestätigen sich doch meine überkritische Haltung und das daraus voll restriktive Vorgehen.
    Wozu sollte ich ein ClusterDB haben? Wenn ich DBs betreibe, werden die verriegelt und schön langsam und umständlich selbst implementiert. Ist umständlich, langwierig, aber in jedem Fall sicherer.
    Java und PHP kommt mir unter keinen Umständen auf die Server.
    Wenn es wirklich ein REST API braucht, schreib ich es halt. Streng begrenzt.
    Da werden solche Probleme nicht auftreten. Da steht einiges dazwischen.

    Das Problem des fehlenden Bewußtseins geht aber tiefer.
    Wir hatten hier schon einmal einen Thread der sich auch um Bedrohungen drehte. Ich hatte geschrieben, dass PHP für mich ein vorsätzliches Sicherheitsloch wäre. Dass man ein MVC System einsetzen solle. Die Antwort von auch in diesen Dingen nicht gerade Unerfahrenen: "Das ist ja nur ein Programmierpattern. Das kann man mit PHP auch."
    Der Unterschied zwischen ein Sich-daran-halten und einem Framework, das es gar nicht anders zulässt, wurde einfach ignoriert.
    Der Mensch neigt nun mal dazu sein Wissen gnadenlos zu überschätzen.
    Bekommt er Contra, wird mit allen lauteren und unlauteren Argumenten verteidigt.
    Man müsste ja sonst eine neue Programmiersprache lernen, alles umschreiben und dann damit auch zugeben, dass man auf einem gefährlichen Holzweg war.

    Das findet regelmäßig nicht statt.

    Und wenn wir uns schlicht vor Augen führen, dass die Gausche Normalverteilung auch auf die EDVler zutrifft, dann gibt es wenige sehr schlechte, viele im breiten Mittelmaß und nur sehr wenig wirklich Gute.
    Zusammen mit natürlichen Reibungsverlusten ergibt das nun mal das denkbar mieseste Mittelmaß an "Strukturqualität".

    Was abba völlig egal ist, weil ja Verantwortun unteilbar ist.
    Irgendjemand ganz hoch droben ist ja Schuld.
    Der Liebe Gott auf jeden Fall.
    Wir sowieso per se niemals nicht.
    Es war entweder ein Praktikant, oder der Liebe Gott.

  9. #9
    Universaldilletant Avatar von fork
    Registriert seit
    Dec 2001
    Ort
    Frankfurt/Main
    Beiträge
    977
    Zitat Zitat von Betterworld
    Der Mensch neigt nun mal dazu sein Wissen gnadenlos zu überschätzen.
    Bekommt er Contra, wird mit allen lauteren und unlauteren Argumenten verteidigt.
    Kommt mir irgendwie bekannt vor. Dir nicht auch?

  10. #10
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.450
    Winterkorn konnte nichts wissen, es war der Hausmeister. Im Alleingang.

    Beleg: http://www.der-postillon.com/2015/09...asentiert.html

    Heute stehts im Postillon, in einem Jahr (sinngemäß) im Spiegel.
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  11. #11
    Banned
    Registriert seit
    Feb 2005
    Beiträge
    1.149
    Genau diese Reaktionen bestätigen meine Darlegung voll und ganz.

    Besser kann man mir gar nicht Recht geben.
    Danke.
    Geändert von BetterWorld (23.01.17 um 12:24 Uhr)

  12. #12
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.450
    Lüge ist ein hässliches Wort, heute nennt man so etwas "alternative Fakten".

    Guck mal auf das Datum des Postillon Artikels, und google ab wann Winterkorn anfing zu behaupten er habe vom Betrug nichts mitbekommen- echt gruselig wie präzise der Postillon manche Dinge trifft.

    Hier ist noch so eine Prognose-Satire:
    http://www.der-postillon.com/2016/07/erdokratie.html

    Genau das hat er mit der Abstimmung letzter Woche getan.
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  13. #13
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    862
    Zitat Zitat von fork Beitrag anzeigen
    Kommt mir irgendwie bekannt vor. Dir nicht auch?
    Ich glaub den kenn ich auch... konnte meinen geheimen Hinweis nur nicht entschlüsseln, weil er versucht hat die SMIME-Mail mit dem Public-Key zu entschlüsseln

    Ich dachte zumindest, dass per Gesetz irgendwo aufzufinden wäre, dass die Verantwortung in einem Unternehmen im Zweifelsfall immer bei der GF oder dem Unternehmer zu finden ist.

    Winterkorn ist nur ein Beispiel für jemanden, der sich aus der Verantwortung zieht. Das liegt aber eher daran, dass bei solchen Leuten keiner handelt, nicht daran, dass sie eigentlich verantwortlich wären.

    Deswegen... ab mit dem Kopf

    Und mal ganz ehrlich... ich hab schon das ein oder andere Relikt eines Praktikanten gefunden. In manchen Unternehmen wachsen die IT-Systeme eben schnell, unkontrolliert und unüberschaubar. Dass das anders sein sollte steht außer Frage, aber dass es Tatsache ist eben auch.

    Wer sagt denn eigentlich, dass Python im Web weniger anfällig ist als Java oder PHP? Am sichersten wären wohl statische HTML Seiten

    Zitat Zitat von Huhn Hur Tu
    Das muss ins Internet, wenn ein Kack Hipster JS Bunt Graphen Fu daran angebunden werden soll, das auf so eine NoSQL drauf muss und damit das ja keine Last auf dem Webserver machen darf, das ist ja gerade Hip den Browser alles machen zu lassen, muessen die Clients eben auf die Datenbank.
    Ich glaube das ist egal in welchen Bereich man schaut, die Ansprüche, Bedürfnisse und der Willen der Nutzer/Chef's sind nicht immer mit Vernunft und dem Verständnis eines Fachmannes gleich zu setzen. Da sind "wir" als Gesellschaft aber auch selbst irgendwo schuld, wenn wir immer neu neu neu und hip hip hip kaufen und wollen.

    So würde ich das auch nicht zwingend auf neue Technologie oder IoT schieben.
    Nur weil es blinkt und funkelt ist es nicht unbedingt schlecht, nur vielleicht noch nicht Reif. Da herrscht einfach die amerikanische Mentalität Produkte unfertig auf den Markt zu werfen und dort dann fertig zu entwickeln. Das ist mit IoT ja auch so ein Ding, das "Gesamtkonzept" ist einfach nicht durchdacht. Entwicklerboards werden benutzt etwas produktiv zu nehmen, weil die günstig sind, die verfügbare Software aber vielleicht nicht wirklich darauf abzielt. Das Android-Update Problem ist ja z. B. auch kein Problem das Android mit sich bringt sondern eher ein Einstellungsproblem des Herstellers.
    Geändert von florian0285 (23.01.17 um 13:46 Uhr)
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  14. #14
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    1.923
    Zitat Zitat von florian0285 Beitrag anzeigen
    Das Android-Update Problem ist ja z. B. auch kein Problem das Android mit sich bringt sondern eher ein Einstellungsproblem des Herstellers.

    Oh Android, das ist genau so gewachsen wie es sollte, geplante Softwareobsoleszenz durch fehlende Updates, dafuer ein geschlossenes Universum, das nicht flaechendeckend von Open Source Leuten gekippt wird.
    Die Sicherheitsprobleme, ueberdecken ein wenig das Datenschleudern der Hersteller und Servicebetreiber.
    Unter Linux wuerde sich niemand anmassen einen solchen Cloudwahnsinn zu machen, daher musste Google auch eine neue Insel schaffen, bzw. eine neue Iteration die nicht Linuxbased ist schafft.
    Datenverluste gehoeren dazu, das Geschaeftsmodell zu sichern und Kundschaft proprietaer zu binden.
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  15. #15
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    862
    Du vergisst Android ist Linux. Es gibt auch diverse Projekte, die proprietäre Komponenten durch OSS ersetzen zu versuchen.

    https://en.wikipedia.org/wiki/Replic...rating_system)

    Das geschlossene Universum würde ich eher der Apfelbaum-Plantage zuschreiben.
    Aus dem Android Universum kannst du ausbrechen, wenn du das möchtest. Das bedarf aber der gleichen Motivation wie beim Umstieg von Windows auf Linux.
    Kurz gesagt - Recherche - richtiges Gerät kaufen - rooten - flashen - CustomROM pflegen. Bei Linux übernimmt die "drecksarbeit" die Community. Bei Android ist diese Community eben noch nicht so weit, wie die "Linux x86 Desktop" Community.

    Es steht dir hier aber wie bei jeder OpenSource Software frei den Code selbst zu pflegen.

    Wenn du ein CM, Lineage, Replicant oder sonst einem (halbwegs) OSS ROM kompatibles Gerät hast lade dir den Quellcode runter und du kannst dir den Code regelmäßig mit den Sicherheitsupdates patchen oder dir diese selbst erstellen und dein Gerät flashen. Wenn du dann Apps aus fdroid nutzt oder sie dir selbst schreibst wirst du mit deinem Android 4.4 wohl noch etwas lange leben können. Aber irgendwann wird auch die OSS Community alte Geräte nicht mehr unterstützen.

    Wenn du dich auf die Community verlässt hast du bei einem CustomROM das selbe Problem, wie bei Linux. Kein Mensch möchte alte Treiber oder alten Code pflegen und die Vielfalt der einzelnen Geräte ist so groß, dass man auch keine alte Hardware mehr pflegen möchte.

    Ich finde das Problem bringt somit nicht Android mit. Das ist definitiv den Herstellern in die Schuhe zu schieben bzw. die OSS Community scheint daran zu wenig Interesse zu haben. Daran sind wir auch wieder selbst schuld, weil wir immer neu und billig kaufen wollen. Der Lebenszyklus eines Handys war früher auch gerade mal 2 Jahre und dann gabs mit dem Vertrag ein neues. Bei Smartphones kommts mir mittlerweile so vor, als hätte man jedes Jahr ein neues. Warum sollten dann die Hersteller weit darüber hinaus Updates anbieten?

    Wer ein Android-Gerät mit StockROM kauft und betreibt sollte das so sehen wie mit einem Windows PC. Wenn MS den Sprung von Windows 8 auf 10 macht und den Support für 8 einstellt surfen fürs erste trotzdem alle Win8 Besitzer mit Win8 weiter im Netz rum, obwohl es kein Windows-Update Problem gibt. Die Möglichkeit ein Update/Upgrade einzuspielen besteht. Die Möglichkeit ein neues Gerät zu kaufen auch und vorallem die Möglichkeit sich ein vernünftiges Gerät zu kaufen. Es gäbe sogar alternative Software/Apps und man kann sich seine eigenen Apps entwickeln. Nur das Geschäft mit den Daten scheint doch zu lukrativ zu sein. Davor schützt dich eine 0815 Linux Distribution auch nicht.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

Ähnliche Themen

  1. Drucken von Netz A auf Netz B
    Von hackerjogi im Forum Router und Netzaufbau
    Antworten: 1
    Letzter Beitrag: 16.10.09, 20:52
  2. amarok 1.3.1 'vergewaltigt kmix-PCM?'
    Von LX-Ben im Forum Musik
    Antworten: 3
    Letzter Beitrag: 25.11.05, 15:50
  3. IPCOP Router [DSL;Netz A;Netz B]
    Von mathias2 im Forum Router und Netzaufbau
    Antworten: 6
    Letzter Beitrag: 22.07.05, 15:30
  4. Zwei Gateways + globales Netz + lokales Netz für Wlan
    Von wollow im Forum Router und Netzaufbau
    Antworten: 0
    Letzter Beitrag: 20.03.05, 17:11
  5. [Dringend] Netz A nach Netz B
    Von Die Borg im Forum Router und Netzaufbau
    Antworten: 4
    Letzter Beitrag: 23.12.04, 15:10

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •