„Cyber cyber“ des tages

Wie fährt man einen angriff gegen päjpäll, ama-zone, äppel, meikrosoft, schoppifeist oder ubel? An sich war das ganz einfach: Wenn man wusste oder erraten konnte, wie die verwendeten biblioteken heißen, legte man einfach in den üblichen bibliotekslagerstätten im internetz gleichnamige, aber mit höherer versjonsnummer an, und schon werden die in der den lokalen entwicklungsumgebungen vorgezogen — und man konnte dort beliebigen kohd ausführen lassen. Weia!

Auch weiterhin viel spaß mit dem aufgeblähten blähkohd des 21. jahrhunderts mit seinen paarhundert abhängigkeiten zu externem kohd! Egal, ob maven, pip oder npm, die damit hereingeholte komplexität kann ein echtes security-problem werden. Und nein, cpan ist auch nicht besser. Gruß auch an die ganzen javascript-entwickler, die lieber ein ganzes paket aus einer nicht kontrollierten kwelle (mit möglicherweise zunächst halb unsichtbaren, aber monströsen abhängigkeiten, die dann für jahrzehnte im projekt bleiben, weil niemand laufenden kohd anfassen will) dazuladen, bevor sie eine eigene zeile kohd schreiben. Ja, es geht gar nicht so selten nur um eine einzige verdammte zeile, die nicht einmal schwierig zu tippen wäre…

Ich bin zu erwaxen für diese scheiße!