WordPress 2.3 – Trübe Wasser und gefärhlich Klippen

Wie an diversen Stellen im Internet zuzeit nachzulesen ist, ist die neue Update-Check-Funktion von WordPress nur mit etwas Bauschschmerzen zu nutzen.

Auf tamagothi.de/…/datenschutzproblem-in-wordpress-23 gibt es einen recht umfassenden Artikel dazu.

Man kann über jedes für und wieder der einzelnen Punkte gerne diskutieren. Beim Übermitteln der URL des Blogs hört es jedoch auf.
Was spricht gegen einen einfachen Hash? So wären wohl alle glücklich. Vor allem vor dem Hintergrund, dass das Core-Team eh nicht so genau weiß, warum sie die URLs mit übermitteln.

Das komplette Ausschalten der Funktion finde ich doch arg sinnfrei. Daher begünge ich mich zurzeit mit einem händischen anpassen der Sourcen (was bei jedem Update dann auch wieder nötig sein wird 🙁 ).

Das Corpus Delikti befindet sich in /wp-admin/includes/update.php und lässt sich wenigstens einfach patchen:

 85c85
<       $http_request .= 'User-Agent: WordPress/' . $wp_version . '; ' . get_bloginfo('url') . "\r\n";
---
>       $http_request .= 'User-Agent: WordPress/' . $wp_version . '; ' . md5(get_bloginfo('url')) . "\r\n"; 

Jeder der jetzt mit den IPs und der Google-Suche ankommt möge sich bitte nochmal genau überlegen was seine Argumente beinhalten und überprüfen, ob die Argumente nicht auch schon auf diversen Seiten wiederlegt wurden (Stichwort VirtualHost etcpp.)

Aber ja, problematsich wird es erst, wenn die übermittelten Daten abgegriffen werden. Aber wie so immer wird so ein Datenpool Begehrlichkeiten wecken… (Vgl. Mautdaten)

Neben diesen leichten Ungereihmtheiten sollte man sich aber mal über das deutsche WordPress gedanken machen:

Sie informieren zwar etwas detailiert und nicht so verklausuliert über die Updatefunktion und das Daten „problem“ wie die Hauptseite von WordPress, jedoch existiert ein ganz anderes Problem:

Spam direkt in WordPress. Ich nutze zwar die orginale WordPressversion mit deutscher Übersetzungsdatei, aber trotzdem bleibt es eine Sauerei!

Es bleibt nur zu hoffen, dass die WordPress-Jungs nicht auf einem ähnlichen Tripp sind wie die XFree86-Jungs damals.
So ein Blog-Monopol kann, meiner Meinung nach, genauso schnell fallen wie es entsteht. Das neue Blogsystem muss nur einen passenden Konverter mitbringen und schon ist ein Wechsel kaum noch behindert. (Leider, ich mag WordPress sehr)

5 Antworten auf „WordPress 2.3 – Trübe Wasser und gefärhlich Klippen“

  1. Man kann über jedes für und wieder der einzelnen Punkte gerne diskutieren. Beim Übermitteln der URL des Blogs hört es jedoch auf.

    Häh? Nun tut doch mal nicht alle so, als ob die URL eures Blogs ein Staatsgeheimnis wäre. Das ist doch absurd.

  2. Es spricht nichts für die Übermittlung der URL, es spricht aber auch nichts dagegen. Bisher konnte ich bisher nirgendwo was lesen, warum das so doll schlimm sein soll, außer des an den Haaren herbeigezogenen „böse Hacker könnten durch eine heimtückische man-in-the-middle-Attacke starten und die Liste meiner Plugins abgreifen und dann nach Sicherheitslücken suchen“. Warum hört es denn nun bei der Blog-URL auf? Ist diese URL geheim?

  3. Wenn nichts für die Übermittlung spricht, warum dann übermitteln?

    Die Argumente sind nicht an den Haaren herbeigezogen. Debian- und Gentooserver wurden auch schon gehackt, eben weil sie ein lohnendes Ziel sind. Und da sollte man ja eigentlich davon ausgehen können, dass Menschen, die Wissen was sie tun diese Server betreiben.

    Du brauchst nicht suchen wenn du die Liste hast.
    Du kennst die Plugin-Versionen, die Lücken beinhalten. Einfach die entsprechenden (nicht aktualisierten) Blogs aus der Liste abfragen und fertig ist eine sehr lange Liste an Blogs, die dieses Sicherhetisproblem haben.
    Und eben über die URL weißt du genau, wo die Blogs zu finden sind.
    Wenn ich nur anhand der Liste weiß, dass 25% der Blogs angreifbar sind, ich aber nicht weiß welche kann ich es nur über Brute-Force bei jedem WP-Blog versuchen, den ich über Google finde.
    Dies entfällt komplett.

    Ein Hash über die URL würde die Statistik verbessern und dieses Problem wäre nicht gegeben.
    Prinzipiell kann man sich die URL aber auch ganz schenken.

    Das steht aber auch alles in den verlinkten Artikeln…

Schreibe einen Kommentar