JQuery wahlweise via CDN

  • Wäre nur schlecht, wenn das, wovon es geladen wird, dann ausfällt.

    Was beim CDN von Google zumindest IMHO relativ unwahrscheinlich ist. Da steckt halt deutlich mehr als nur ein einzelner Server dahinter. ;)

    MfG Markus Zhang (aka RouL)

  • dafür gibt es Fallback-Strategien - dann wird es eben doch von deinem Server geladen ;)


    Problem für uns: wie sieht es mit dem Datenschutz (keine Weitergabe von Daten an Dritte) aus, da natürlich auch die CDN-Server mindestens die IP des Nutzers speichern....


    (ich weiss: für solche Fragen gibt es Anwälte - deshalb jetzt bitte keine neue Diskussion!)

    Der Kopf ist rund, damit das Denken die Richtung wechseln kann (Francis Picabia)

  • @nmichel @Matrikular @test'ing
    Die Angabe einer CDN-URL kann allerdings abgesehen von der Nutzung von CDNs wie dem von Google auch für andere Dinge interessant sein.
    Angenommen man hat einen Online Auftritt wie zB. ein Browsergame oder irgendetwas anderes großes und das Forum ist nur ein kleiner Bestandteil der Seite, so macht es Sinn Bibliotheken, die man an vielen Stellen braucht und eventuell sogar unter verschiedenen Subdomains braucht von nur einer Stelle zu laden. Eventuell sogar von einem Server, der rein auf das ausliefern von statischen Dateien optimiert wurde. Dafür kannst du die Möglichkeit der Angabe eines CDN auch verwenden.

    MfG Markus Zhang (aka RouL)

  • @RouL
    das ist alles völlig richtig und nachvollziehbar - aber wodurch wird z.B. sichergestellt, daß die vom CDN-Server geladenen Bibliotheken wirklich nur den Code, den wir brauchen und wollen, enthalten und nicht noch kitzekleine verborgene Zusatzfunktionen implementiert worden sind?


    Vielleicht ist das Ganze ja auch nur ein "HoneyPot" für dumme Admins ;)


    PS: Ich bin durchaus kein FanBoy von ..... :D

    Der Kopf ist rund, damit das Denken die Richtung wechseln kann (Francis Picabia)

  • @nmichel
    Theoretisch keiner. Praktisch gehe ich davon aus, dass das schon irgendjemandem auffallen würde. Es gibt immer interessierte, die soetwas analysieren. Genauso wie bei OpenSource Software.

    MfG Markus Zhang (aka RouL)

    Edited 2 times, last by RouL ().

  • Praktisch gehe ich davon aus, dass das schon irgendjemandem auffallen würde


    Richtig: es gibt also keinen Schutz - die Erkenntnis kommt erst dann, wenn das Kind bereits in den Brunnen gefallen ist.

    Der Kopf ist rund, damit das Denken die Richtung wechseln kann (Francis Picabia)

  • Nun doch ;)

    ich möchte hier jetzt keine Grundsatzdiskussion über CDN starten...


    Aber so sind wenigstens mal die Standpunkte klar geworden - ohne viel Likes und Dislikes :D

    Der Kopf ist rund, damit das Denken die Richtung wechseln kann (Francis Picabia)


  • Richtig: es gibt also keinen Schutz - die Erkenntnis kommt erst dann, wenn das Kind bereits in den Brunnen gefallen ist.


    Welchen Schutz hast du das die jQuery Version die du direkt auf der offiziellen Seite lädst nicht verseucht ist? Auch keinen, dort aber vertraust du drauf und bindest die Datei bei dir direkt ein. So ist das nunmal wenn wir auf die Arbeit von dritten setzen. Wir vertrauen.

  • Unsachlich in meinen Augen deshalb, weil derartige pauschalen"Friss oder stirb"-Argumentationen leicht den Blick auf die eigene Verantwortlichkeit und Möglichkeit versperren können.

    Der Kopf ist rund, damit das Denken die Richtung wechseln kann (Francis Picabia)

    • Official Post

    Mowee hat aber völlig recht, du hast keine Garantie, du kannst nur darauf vertrauen.


    Vor nicht allzu langer Zeit wurden die offiziellen Server von Debian kompromittiert, wodurch Manipulationen an Paketen vorgenommen und diese mit dem offiziellen Schlüssel signiert wurden. Das ganze ist rechtzeitig aufgeflogen, weil sehr viele Menschen so etwas gegenprüfen und bei den CDN von Google ist das nicht anders.

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Mal davon abgesehen, dass durch die Lösung niemand zur Nutzung eines CDN gezwungen wird, wird auch niemand dazu gezwungen, das Google CDN zu verwenden. Viele wissen scheinbar nicht, dass man auch sein eigenes CDN aufsetzen und die Dateien von dort aus ausliefern kann. Dadurch gehen zwar sicherlich einige, kleine Vorteile flöten, aber das wäre noch immer besser als die Dateien direkt vom eigenen Host zu laden. Nur so als Idee ;) Letztlich kann jeder, der sich Sorgen um Datenschutz oder andere Nebensächlichkeiten macht, immer noch die lokalen Dateien verwenden.

  • Viele wissen scheinbar nicht, dass man auch sein eigenes CDN aufsetzen und die Dateien von dort aus ausliefern kann.


    Siehe:

    MfG Markus Zhang (aka RouL)

  • So schön das auch für den einen oder anderen sein mag. Die Dateien die ein bei mir installiertes Forum benutzt, werden von meinem Server geliefert und nicht von anderen Servern. Ich habe nur über meinen Server eine Kontrolle die in meinem Verantwortungsbereich liegt.
    Ist mir das bei irgendeiner Software nicht möglich, wird die nicht bei mir auf dem Server installiert. So einfach ist das für mich.
    Das fängt mit jquery an, und hört dann wo auf, bei welchen Dateien?
    Mehr werde ich dazu auch nicht sagen.


    Wo ist das Problem diese Dateien nicht im Cache sondern direkt beim User auf dem PC unterzubringen? HTML5 bietet doch die Möglichkeit (Storage). Warum werden die Techniken nicht dafür genutzt?
    Dann braucht man sich um CDN usw. doch keine Gedanken zu machen. Die entsprechenden Dateien einmal ausliefern und gut ist es. Wenn es neuere Versionen oder geänderte Dateien gibt, dann werden die ausgetauscht.
    Nur Cookies zu speichern ist doch auch nicht im Sinne von HTML5. HTML5 bietet doch wesentlich mehr Möglichkeiten Dateien direkt auf dem PC des Users unterzubringen und moderne Browser unterstützen dieses.

    Mit freundlichem Gruß
    Karsten
    Opera und Debian GNU/Linux ... was sonst?

  • So schön das auch für den einen oder anderen sein mag. Die Dateien die ein bei mir installiertes Forum benutzt, werden von meinem Server geliefert und nicht von anderen Servern. Ich habe nur über meinen Server eine Kontrolle die in meinem Verantwortungsbereich liegt.

    Steht dir weiterhin offen. Hier geht es um eine Möglichkeit das einzustellen und nicht mehr. Da braucht man nicht direkt überreagieren, nur weil du die Funktion nicht nutzen würdest.


    Wo ist das Problem diese Dateien nicht im Cache sondern direkt beim User auf dem PC unterzubringen? HTML5 bietet doch die Möglichkeit (Storage). Warum werden die Techniken nicht dafür genutzt?
    Dann braucht man sich um CDN usw. doch keine Gedanken zu machen. Die entsprechenden Dateien einmal ausliefern und gut ist es. Wenn es neuere Versionen oder geänderte Dateien gibt, dann werden die ausgetauscht.
    Nur Cookies zu speichern ist doch auch nicht im Sinne von HTML5. HTML5 bietet doch wesentlich mehr Möglichkeiten Dateien direkt auf dem PC des Users unterzubringen und moderne Browser unterstützen dieses.

    Du stellst dir das zu einfach vor. Davon abgesehen ist das in der Tat dafür nicht gedacht und wenn das jede Seite so macht hast du nachher 10.000 mal jQuery und sonstige Bibliotheken auf der Platte im Storage.

    MfG Markus Zhang (aka RouL)

  • Unsachlich in meinen Augen deshalb, weil derartige pauschalen"Friss oder stirb"-Argumentationen leicht den Blick auf die eigene Verantwortlichkeit und Möglichkeit versperren können.


    Du prüfst also bei jedem Plugin. dass du installierst, zeilenweise selber nach, ob da irgendwo eine Backdoor drin ist? ich meine, selbst wenn das Plugin aus dem plugin_Store ist, oder gar von WoltLab selber, so vertraust du auch da letzten endes ohne eine eingehende Prüfung des Quelltextes nur darauf, dass die es schon richtig machen.


    Insofern sollte man immer mal überlegen, was man so einsetzt. Entweder ich prüfe alle meine Software genauestens (und btw,, bei deinem Windows hast du nicht einmal Zugriff auf den Quelltext, um da irgend etwas zu prüfen, genauso wenig wie bei vielen anderen Kaufprogrammen die nur als Executable vorliegen), oder ich sage halt "ich beziehe meine Software aus vertrauenswürdigen Quellen" und vertraue darauf, dass diese stimmen, mit ggf. turnusmäßigen Stichprobenkontrollen (einfach mal mit wget die datei vom CDN holen und nen Hash davon erzeugen und mit dem Hash vergleichen, den der Hetsreller ausgibt - oh wait, den hash vom hersteller musst du natürlich auch vorher prüfen).


    Quote

    Letztlich kann jeder, der sich Sorgen um Datenschutz oder andere Nebensächlichkeiten macht, immer noch die lokalen Dateien verwenden.


    Datenschutz ist sicherlich keine Nebensächlichkeit.

    "A life is like a garden. Perfect moments can be had, but not preserved, except in memory. LLAP" — Leonard Nimoy

  • Unsachlich in meinen Augen deshalb, weil derartige pauschalen"Friss oder stirb"-Argumentationen leicht den Blick auf die eigene Verantwortlichkeit und Möglichkeit versperren können.


    Da hast du mich falsch verstanden und gibst mich jetzt auch falsch wieder. Ich meinte einfach, dass wie hier schon mehrmals erwähnt wurde du nicht alles vorher prüfen kannst. Sondern du wählst einen Anbieter aus dem du vertraust. jQuery lädst du vermutlich von der offiziellen Seite oder einer großen bekannten Seite wie google runter. Aber der kleinen Seite von Fritzchen Müller vertraust du nicht und würdest dir dort auch nie das Skript herunterladen. Und trotz dieser Vorsicht die du walten lässt hast du immer noch keine 100% Garantie das du nicht eventuell doch eine verseuchte Datei bekommst.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!