Javascript des tages

Ein Rechner, auf dem die genannte Software ausgeführt wird, könnte Angreifern Zugriff auf vertrauliche Informationen gewähren oder ihnen erlauben, die Kontrolle über das System zu übernehmen. Offenbar dient der in diesem Fall eingeschleuste Schadcode dazu, auf dem Zielsystem einen Miner für Kryptowährung zu installieren […] Auch wenn der Schadcode vom System entfernt worden sei, gebe es keine Garantie, dass alle durch die vorübergehende Einrichtung der Malware entstandenen Schäden damit behoben seien

Javascript ist das neue fläsch! Ind die leute installieren sich das zeugs selbst und freiwillig! 🤦‍♂️️

Warum? Weil sie doof sind und deshalb für jeden scheiß bibliotekskohd installieren müssen¹:

Niemand auf diesem Planeten, der nur rudimentär For-Schleifen in Pascal programmieren kann, braucht diese NPM-HÖLLE. NIEMAND

Leider ist es oft etwas schwierig, das einem scheff zu erklären, der seinen mangel an technischem wissen durch einen kolerischen karakter kompensiert.

Ja, ich weiß, dieser link tut im köpfchen richtig weh. Mir auch. Dieser kohd, den ein normal denkender programmierer durch ein schlichtes, schnelles, klares, im gegensatz zu is-odd von keiner weiteren bibliotek abhängiges und ohne den zusatzaufwand eines funkzjonsaufrufes auskommendes ((quux & 1) === 1) — ja, da sind unnötige klammern für menschliche leser drin — ersetzen würde, hat zurzeit über 430.000 daunlohds. Nein, nicht insgesamt und auch nicht jährlich, sondern wöchentlich. Nur, falls ihr euch mal fragt, was zurzeit alles schiefläuft in der softwäjhrentwicklung: da wird kohd aus dem halben internetz zusammengefummelt, den man sich nicht anguckt, und dann glaubt man, dass die damit gebauten anwendungen sicher sind.

4 Antworten zu “Javascript des tages

  1. Ich habe nur ein einziges Electron-basiertes Programm hier, die Theia-IDE.
    Die benutzt immerhin Typescript und wird sehr intensiv gepflegt.

    Auch da gibt es beim Bauen erst einmal rund 30 Warnungen, dass bestimmte Pakete nicht mehr benutzt werden sollten.
    Dann verschlucken die JS-Build-Skripte Download-Timeout-Fehler, was erst später durch Folgefehler auffällt.
    Sollte man bis zur webpack-Phase kommen, gibt es noch einmal frohgemute Warnungen, dass gewisse peer dependencies nicht erfüllt sind, aber weitergemacht wird trotzdem.
    Manchmal sind die Versions-Lockfiles nicht strikt genug, so dass das Ergebnis immer noch von Dependency-Updates beeinflusst wird und der Build-Prozess fehlschlagen kann.
    Läuft alles (anscheinend) bis zum vorgesehenen Ende, hat man ein 625 MB großes Paket für eine IDE.
    Zum Vergleich: juci++ braucht 5 MB, ist nur leider nicht ganz so schnuckelig.

    • Set that repo to „SigLevel = Never“, or sign the packages in that repo. Then the issue will disappear.

      Kannstedirgarnichtselbstausdenkensowas! Und ich dummerchen dachte immer, man dividiert die übertragene menge durch die gesamtmenge. Das geht doch auch ohne digitale signatur… 🤦‍♂️

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.