Follow

Die App hat ihren Backend Code hochgeladen.
gitlab.com/lucaapp/web

Sucht doch mal nach "Password". Oder "ssl.key.pem".

@xpac
Tja, das ist mal so ganz
#DummGelaufen

Das ist dann wohl so ne Art Softwaresuizid.

@wuffel @xpac

Hab ich jetzt was verpasst, irgendwelch bessere Absichten?🤔

@Sofie @xpac
Naja, die Luca-Äpp sorgt halt für Spass und Vergnügen.

@wuffel @xpac

Es gibt Unterhaltungen, auf die kann ich verzichten.🙄

@wuffel @Sofie @xpac Genau wenn der PR rapper den mund auf macht gibts immer was zu lachen, bis man merkt, dass der das ernst meint. :ablobcry:

@wuffel @xpac

Hab mal nachgesehen, die lügen ja immer noch
#open source
#apache licence

ist evtl. deshalb so anziehend für die Regierungsbehörden?🤔

@Sofie @wuffel @xpac Inwiefern ist denn deiner Meinung nach Apache-2.0 ein Problem?

@bionade24 @wuffel @xpac

Nicht Apache-2.0, sondern das, was die Macher der Luca - App veranstalten.

Inzwischen haben sie anscheinend etwas nachgebessert, aber das grundlegende Problem, naja, das nicht. Das soll dann wohl so bleiben.

zerforschung.org/posts/luca-2/

@xpac wenn so ein ganzes Ding als “initial commit” hochgeladen wird, find ich das ja auch immer verdächtig irgendwie... was habt ihr vorher gemacht? Einfach jeden funktionierenden Stand in einen neuen Ordner kopiert?

@xpac aber ja, realistisch wirds wohl nur sein, dass sie nicht ihre Commit Messages veröffentlichen wollen...

“warum funktioniert diese dreckskacke nicht aaah”
“Lösung gefunden auf stackoverflow”
“Kopiert von CWA lol”

@morph @xpac ohne verteidigen zu wollen, gibt es ja noch andere Versionierungsverwaltungen. Oder sie haben in der Vergangenheit git genutzt, es aber als neue Repository hochgeladen, um 'schmutzige Geheimnisse' zu verstecken. Kann ich mir gut vorstellen.

@zeitpunk @morph ich find das auch völlig legitim. Private Key und Passwörter im klartext hingegen... 😁

@zeitpunk @xpac ich finds auch nachvollziehbar und es ist auch echt kein großes Ding, ich würde ihnen das nicht ernsthaft ankreiden. War eher ein Shitpost. in ihrer Position hätte ich das zwar gezielt _nicht_ so gemacht, um wo immer möglich Vertrauen bei den Menschen zu schaffen... aber ich hätte an deren Stelle auch noch ein paaaar weitere Sachen anders gemacht :D

@ckeen bin überrascht, ist tatsächlich ein Dev Cert 😁😁

@xpac gibt es eine Liste von Fehlern die sie noch nicht gemacht haben?

@ckeen @xpac ich warte noch auf SQL Injection - hab ich die Meldung nur verpasst? Weiß da jemand was?

@xpac Dies wird auch schon bei @kuketzblog thematisiert.

Letzter Eintrag:
Fehlalarm:
"This key is for local development and helps you to set up the local environment faster.
It is not a production key."
gitlab.com/lucaapp/web/-/issue

@lastscater da sind aber auch mindestens zwei Passwörter drin, und klar ist das nur das Dev Env, aber das wäre die Stelle wo die Passwörter nicht in Klartext im Repo stehen dürften, sondern bspw aus Vault angeliefert werden sollten...

@xpac ok, also doch keine gänzliche 'Entwarnung'. Zumindest schauen es sich einige Leute schon detailliert an.

@xpac ...und ich muss zugeben, dass meine programmierttechnischen Fähigkeiten an der Stelle unzureichend sind, um qualifiziert mitdiskutieren zu können. Lasse daher gerne den Experten den Vortritt (Mike Kuketz sehe ich dabei weit oben auf der Experten-Liste).

@lastscater @xpac

Nicht nur bei Kuketz, das ist inzwischen quer im Netz Thema!

@xpac Wenn ich beim 1. klick was von Docker lese und und beim 2. was von "backend" und ".js" bin ich doch schon fertig.

So einer Frickelgrütze vertraue ich doch keine Daten an.

@xpac Aber ist das jetzt so schlimm? Letzteres verrät vor ihr private key liegt, aber verstecken ist eh security by obscurity. Und solange sie die Standardpasswörter nicht in production verwende, sehe ich da auch kein Problem.

Für mich sieht das eher aus als werden Sachen aufgebauscht die kein Problem sind, da manchen irgendwie die Kritikpunkte noch nicht reichen?

Luca 

@xpac Das sind Dev-Keys. Meine Gedanken warum dieses aufgeregte Posten nicht hilfreich sind: chaos.social/@baldo/1060647758

@xpac Ist das auch das Zertifikat, das die in Prod nutzen?

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community