Ergebnisse

Artikel-Schlagworte: „XSS“

Eigentlich wäre 2.7 der nächste Release auf der Roadmap, allerdings bewog ein von Jeremias Reith entdeckter XSS Exploit, der virtuelle, IP-basierte Server unter Apache 2.x betrifft, das Team zur Veröffentlichung eines immediate Security Release. Notabene: der nahtlose Sprung von 2.6.3 auf 2.6.5 hat damit zu tun, dass vor einigen Tagen ein Fake 2.6.4er Release im (US)-Netz kursierte.

Wer nur den kritischen Fehler beheben will, überspielt die beiden Dateien feed.php und version.php im Verzeichnis /wp-includes/ mit den Pendants aus dem aktuellen Release. Allerdings werden mit der neuen Version noch weitere Minor Bugs behoben, eine genaue Liste der Updates finden Codewatcher im offiziellen WordPress Blog.

Die Causa 2.6.4 zeigt wieder einmal deutlich, dass WordPress *nur* von der offiziellen Seite heruntergeladen werden sollte - ob ein Update erforderlich ist, verrät seit einigen Releases ja praktischerweise ein im Backend eingeblendeter Hinweis.

Ein neues Jahr, ein neues erstes Blog-Wochen-Panoptikum - doch kein neues WordPress 2.4. Selbiges wird aufgrund zu vieler noch zu erledigender Änderungen übersprungen, stattdessen soll am 28. März 2.5 das Licht der Netzwelt erblicken. Wobei Roxomatix WordPress mistig und meinen 33 Tipps Artikel "unsäglich dumm" findet:

Kurze, ätzende Antwort auf einen weiteren unsäglichen Artikel (kulturtheoretisch könnte man die Hypothese aufstellen "mit den Listen kam die Dummheit"), vielleicht habe ich auch einfach die Ironie nicht verstanden.

Gut, dass nicht alle der gleichen Meinung sind, sonst wär's ja öd... der zweite Teil der Tippsammlung ist jedenfalls bereits im early beta Stadium, rein statistisch gesehen scheint die oder der andere doch sehr viel damit anfangen zu können Trotzdem hab ich mir erlaubt, mal genauer nachzufragen und bin gespannt auf den weiteren Verlauf der Diskussion:

Hmmm... großteils bin ich ja deiner Meinung, außer was die inhaltliche Komponente betrifft; das ist eine Diskussion, die eigenartigerweise genuin typisch für die deutsche Blogosphäre ist, und ich komm mir langsam vor wie eine hängen gebliebene Platte, wenn ich immer und immer wieder schreibe: es gibt nun mal ganz verschiedene Intentionen, aus denen heraus Personen Blogs betreiben - von rein kommerziellen Interessen bis zum ausschließlich ideologisch oder privat motivierten Blog, und das gesamte Spektrum dazwischen. Aus genau diesem Grund gibt's auch weder eine "richtige" Art, ein Blog zu schreiben, noch *einen* angemessenen Schreibstil.

Was WP betrifft: ich weiß nicht, ob du's dir seit 2.2 nochmal angeschaut hast; ich halte die Tatsache, dass sich so viele fähige Programmierer mit WP beschäftigen, für den größten Vorteil... aber das ist auch Geschmacksfrage. Und die Sache mit den Sicherheitslücken ist ein Henne-Ei Problem: das sind teils php-related probs, teils wird wp natürlich aufgrund der hohen Verbreitung genauer überwacht bzw. schauen mehr Augenpaare drauf.

Zum Abschluss noch eine Frage: was genau findest du an meinem Artikel "unsäglich und dumm"? Das geht aus dem Beitrag irgendwie nicht hervor.

Von Demos und EM'lern

Die Metternich-Online-Demo ist mittlerweile in zahlreichen Blogs eingebunden. Helge hat eine 24h-Top-Ten Liste online gestellt, die eine Übersicht über die Blogs mit den meisten Einblendungen bietet - lauter alte Bekannte, bis auf den EM-Blogger, der naturgemäß ganz schön viele Zugriffe bekommt, und die dürften in der nächsten Zeit noch gewaltig steigen, wenn Alexander Zickler & Co. noch mehr Ballakrobatik als sonst in die österreichischen Stadien bringen.

Let's go Gravitalis

Gravitalis nennt Lothar Baier seine eierlegende Wollmilch-CMS-Blogsau:

Das Gravitalis Redaktions-System ist der Versuch; ein Blog-System mit seiner Einfachheit und ein Content-Management-System mit dessen komplexen Fähigkeit zu kreuzen. Heraus kommt etwas; das sich so einfach installieren lässt wie ein Blog; das aber auch wesentlich komplexere Webseiten verwalten kann.

Beim Autor selbst ist die erste Testinstallation bereits im Einsatz; demnächst soll eine öffentliche Beta der auf WordPress basierenden Lösung erscheinen. Die Featureliste klingt mehr als beeindruckend; allerdings stellt sich die Frage; ob eine Einzelperson ein derart ambitioniertes Projekt auf Dauer sinnvoll warten kann - aber falls Gravitalis annähernd hält; was Lothar verspricht; werden sich sicherlich in Kürze ProjektmitarbeiterInnen finden.

Math Comment Antispam: Security Problem

Michael Wöhrers beliebtes Math Comment Spam Protection Plugin weist anscheinend zwei Sicherheitslücken auf - eine davon wurde bereits gefixt, die andere scheint noch zu bestehen, wie der Entdecker der Löcher in den Kommentaren schreibt:

But, Michael, as I see from you comment and from post at your site, you fixed only XSS holes. But it's only bonus post about XSS holes in Math Comment Spam Protection. The main post is about Insufficient Anti-automation hole in your plugin - it's about bypassing captcha, which is main topic of MoBiC project. Did you read that article? I see you didn't. I recommend you to read it too and to fix the hole.

Nähere Details gibt's hier, Michael wird sich der Sache aber sicherlich bald annehmen.

Die follow-Situation

Lorm.de hat einen interessanten Artikel zum Thema "Wie findet man nofollow Blogs?" verfasst; der gleich eine ganze Latte toller Ressourcen auflistet: da wären unter anderem die SEO-Lexikon Liste mit nofollow-Blogs und Digeratis nofollow-Suchmaschine zu nennen (bei der datenschmutz höchst erfreulicher Weise mit dem Keyword Web 2.0 auf Seite 2 gelistet ist); außerdem hat Malte einige weitere gute Tipps parat - und ich bleib dabei: nofollow in Blog-Kommentaren stinkt.

Natascha wechsel die Fronten

Natascha Kampusch, deren jahrelange Gefangenschaft dem Begriff "Kellerkind" eine neue Dimension verlieh, wird demnächst auf puls4 eine eigene TV-Show moderieren, in der sie Gespräche mit "außergewöhnlichen Persönlichkeiten" führt:

Ich trage bereits seit längerem den Gedanken, aus der Rolle eines passiven "Medienobjekts" herauszutreten und pro-aktiv mediale Inhalte zu gestalten.

Eine Webseite wurde bereits vorab gelauncht - Natascha-Kampusch.at ist derzeit vorwiegend ein Online-Pressespiegel zur Person der Protagonistin, verantwortlich für die HP zeichnet, nehme ich an, die Agentur Diamond Age, von der auch der zugehörige Pressetext bei SevenOne Media stammt. Ein Community-Teil ist geplant, wird aber erst im Februar gelauncht; ich bin ziemlich überrascht, dass die Startseite nicht in Form eines Blogs gestaltet wurde, das sich eigentlich ideal zur weiteren Bewerbung des medialen Seitenwechsels eignen würde... auf die Show bin ich jedenfalls gespannt, könnte unfreiwillig schräg werden.

Video der Woche

Der Ernsthaftigkeit des Jahresbeginns angemessen dreht sich's im Video der Woche um ein Kernthema für alle WP-User: Wie kriegt man WordPress suchmaschinenfreundlicher? Graywolf erklärt im folgenden Video einige Basics rund um die Permalinkstruktur sehr anschaulich - manchmal geht eben nichts über Papier und Fernsehen [via Shoemoney]:

Zum Abschluss noch ein Eintrag aus der Rubrik "das letzte" - der ultimative Link für jede E-Mail Signature macht Sie sicher: speziell in der Businesswelt macht sich dieser liebenswürdige Flash-Gruß sicherlich ganz hervorragend! Schönen Restsonntag und bis nächste Woche!

Eine ganze Armada neuer Sicherheitslücken sollte allen WordPress-Usern die Nackenhaare aufstellen. Hier gibt's die genauen Details für die insgesamt sieben Exploits von XSS-Problemen bis hin zu SQL-Injects. Derzeit ist kein Patch in Sicht, Frank Bueltge hat die detaillierte Update-Anleitung.

Die paar Code-Changes sind schnell erledigt - für bequeme gibt's allerdings auch eine neue und hochgradig ungewohnte Art, den Patch zu fixen: ein "freundlicher Wurm" nutzt exakt die angesprochenen Exploits, um die notwendigen Updates durchzuführen - er stammt vom Mybeni Blog:

It uses the Security vulnerabilities in the latest WordPress Version (2.2.1) to get into your blog and help you patching the Security flaws! Everything based on Cross-Site Scripting and Cross-Site Request Forgery.

Im WP Bugtracking System sind die Lücken bereits erfasst, schwach finde ich allerdings, dass am offiziellen WordPress Blog jeglicher Hinweis auf den neuen Hazard fehlt - ich mein, wie lange kann es denn dauern, ein Patch-Paket mit den gerade mal 4 zu ändernden Dateien zusammenzustellen? Da wünscht man sich definitiv ein zuverlässigeres Online-Update-Service...

Näheres zum Wurm

Auch wenn ich die Idee originell finde, kann ich mit dem freundlichen Wurm nicht so richtig warm werden - bei einer One-Man Show können leicht Fehler passieren, nicht unbedingt aus Bösartigkeit, sondern ganz einfach aus Versehen. Die Neugier obsiegte dann natürlich dennoch, und ich hab das Teil auf eines meiner unkritischen Testblogs losgelassen; und siehe da, der Updateprozess schien reibungslos zu klappen. Komischerweise aber auch beim zweiten Mal - ich hätte eigentlich erwartet, dass das Würmchen bereits gepatchte Blogs erkennt. Entweder das, oder der Hack hat einfach nicht hingehauen, aber in dem Fall vermisse ich die Fehlermeldung. (Können eigentlich php-Dateien am Server geändert werden ohne passende Schreibrechte???)