Kommentare zu folgendem Beitrag: Supply-Chain-Angriff: NPM-Pakete mit 2,6 Milliarden Downloads pro Woche infiziert
Mit npm hat man sich ziemliche Abhängigkeiten eingehandelt.
Und so wird auch ein Update freudiges System schneller verseucht als einem lieb ist.
Ich weiß schon, weshalb ich Updates auf allen meinen Systemen mit einer Verzögerung einspiele.
Dann hast du halt die Zero day exploits ungefixt.
Die Chance mit einem Zero-Day-Exploit angegriffen zu werden sind geringer, als die Kontrolle über sein System zu verlieren, wenn man sich den Schadcode direkt installiert.
1 „Gefällt mir“
Ansichtssache.
2,6 Milliarden Downloads / Woche mit Schadsoftware soll weniger gefährlich sein, als ein Unsicherer Rechner mit einer Zero-Day-Lücke unter 2,6 Milliarden?
2,6 Milliarden : 1 (Reine NPM Pakete unter Milliarden von Geräten Online)
Das Risiko nehme ich dann liebend kauf und Spiele Zwischenzeitlich Lotto um zu gewinnen.
2,6 Milliarden Downloads heisst nicht 2,6 Milliarden Rechner. 
Darauf haben sich schon viele ausgeruht. Wieso sollten Hacker gerade mich finden? Weil sie automatisiert massenhaft nach Fehlern scannen.
Zudem ist das eher der Durchschnitt, weil die meiste Software ihre Sachen nicht regelmäßig aktualisiert. Ich auch nicht btw.
Mir liegt aber tatsächlich fern hier Leuten irgendwas vorzuschreiben, wolte nur gesagt haben das diese Lösung genauso unsicher ist wie Sachen schnell zu aktualisieren. Es gibt nicht DIE richtige Lösung.
Es macht aber dennoch einen Unterschied, ob man einen Scanner über einen Pool von Milliarden von Geräten laufen lassen muss,
oder einfach eine Liste mit IP Adressen bekommt, an denen garantiert zugängliche Systeme sind.
Vermutlich wird sich die Malware auf einem Zentralen Server rückmelden und ein Lebenszeichen geben.
Ist ähnlich wie Hoffen im Lotto zu gewinnen, aber die Bündel Gelscheine, die auf dem weg zum Kiosk liegen, einfach liegen zu lassen.
Klar kann man im Lotto gewinnen, aber das kann sehr lange dauern und die Chance einen Treffer zu landen ist gering.