Es brodelt in der Web-2.0-Welt. Sicherheitsprobleme bei Twitter machen die Runde. Wie viele von Euch sicher schon gehört haben, gab es in den letzten Tagen einige Aufruhr wegen einiger unsauberer externer Twitterdienste.
Das große Problem ist, dass man bei Twitter für die Anbindung externer Dienste dort immer die kompletten Logindaten angeben muss. So etwas wie einen API-Key oder sonstige externe Authentifizierung über Dritte gibt es bei Twitter nicht. Auch nach vielen Monaten und vielen Beschwerden. Twitter zeigt sich dort wie auch in anderen Punkten sehr unbeweglich und uneinsichtig. Warum das so ist kann man wohl nur spekulieren.
Casi von zweipunktnull.org bringt nun ein neues Thema auf den Tisch. Die Tatsache, dass Facebook Twitter von heute auf morgen in die Tasche stecken könnte ist durchaus in gefährlicher Nähe und wenn einige Faktoren richtig stehen und Facebook eine Hand voll Schlüsselpersonen auf seine Seite ziehen kann, dann ist wohl tatsächlich von heute auf Morgen Ebbe im Twitterland.
Auf jeden Fall dann, wenn Twitter nicht schleunigst merkt, dass es nicht damit getan ist die Schäden einiger gehackter Accounts von Prominenten einfach wegzuwischen und so zu tun als wäre nichts gewesen. Ich würde die Hacks von Britney Spears, Obama, Foxnews und weiteren einfach mal als Warnung verstehen und als letzte Chance schnell was an den Sicherheitsvorkehrungen zu ändern – angekündigt haben sie’s.
Für $1200 wurde die noch sehr Junge Plattform Twply verkauft. Ein Dienst der es Twitter-Usern ermöglicht sich @replies per Email schicken zu lassen. Also etwas, was Twitter selbst auch mit Direct Messages macht. Ansich nützlich, aber…
Chancen und Risiken um externe Twitterdienste beschreibt Nico Lumma in seinem Beitrag über diesen Verkauf und die Login-Daten-Gefahr im Allgemeinen.
Der Unbeweglichkeit und steten Langsamkeit der Twitter-Betreiber ist es wohl zu verdanken, dass es immer noch keine ordentliche Auth-Lösung gibt.
Heute Nacht wurde WordPress 2.6.3 als Sicherheitsrelease veröffentlicht. Es wird dringend empfohlen alle WordPress-Installationen zu aktualisieren. Die beiden betroffenen Dateien sind:
- wp-includes/class-snoopy.php
- wp-includes/version.php
Den Download gibt’s wie immer bei WordPress.org – die deutsche Version bei WordPress-Deutschland.org.
Weitere Informationen zur Sicherheitslücke gibts bei Secunia.
Ohne große Vorankündigung wurde heute Nacht deutscher Zeit die Version 2.6.2 von WordPress released. Man umgeht dabei eine Gefahr mit SQL Column Truncations, auf die Stefan Esser kürzlich hingewiesen hatte. Wichtig ist dieses Update in erster Linie für Blogger, die öffentliche Benutzerregistrierungen auf ihrem WordPress-Blog ermöglichen. Mit Hilfe des in 2.6.1 enthaltenen Codes ist es bei Neuregistrierungen möglich mit Hilfe des Benutzernamens das Passwort eines anderen Benutzers auf ein neues (zufällig generiertes) Passwort zurückzusetzen. Da dem Angreifer das zufällig generierte Passwort nicht bekannt wird, ist dies kein ernsthaftes Sicherheitsproblem, aber auf jeden Fall ärgerlich.
Auch andere Anwendungen als WordPress könnten von diesem Problem betroffen sein. Ändern lässt sich das entweder mit Hilfe von Updates für die jeweiligen Anwendungen oder durch ein Update von Suhosin. Dafür ist aber natürlich Zugriff auf den Server nötig um die PHP-Erweiterung zu installieren/aktualisieren. Im Zweifelsfall hilft vielleicht ein Hinweis an den Webhoster.
[via]
Mal ehrlich: So langsam nervt die Sicherheitsdiskussion rund um WordPress. Eigentlich nicht wegen der (mangelnden) Sicherheit, sondern eher die Tatsache wie substanzlos die Diskussion geführt wird. Vorab: Ich bin wie die meisten zu wenig in Sachen PHP bewandert um die grundlegenden Sicherheitsprobleme von WordPress beurteilen zu können. Das ist aber auch gar nicht das Problem an der Diskussion. Das Problem ist vielmehr der Anspruch der erhoben wird. Dieser Anspruch richtet sich – für mich unverständlich – in letzer Zeit immer mehr gegen Automattic, den Betreiber von WordPress.com.
(weiterlesen…)
In den letzten Tagen wird ja wieder einmal viel über die Sicherheit bzw. Unsicherheit von WordPress gesprochen. In erster Linie wird WordPress beschimpft wie schlecht und unsicher es doch ist. Das ist teilweise sogar unbestritten, ich will jedoch nicht weiter darauf eingehen. Wie so oft fehlt es bisher an praktischen Lösungsansätzen. Gar nicht mal so sehr wenn’s darum geht das eigene Blog abzusichern – dafür finden sich genügend Tipps – eher aber wenn’s darum geht nach Eindringlingen zu suchen und zu prüfen ob man selbst betroffen ist.
(weiterlesen…)
Noch zeigt der Updatemonitor von WordPress die Version 2.3.2 als aktuell an, vor zirka einer Stunde jedoch wurde WordPress 2.3.3 als dringendes Sicherheitsupdate released. Vor allem für Multiautorenblogs und Blogs mit Registrierungsfunktion ist das Update dringend empfohlen. (weiterlesen…)
Jaja, letzte Woche in Berlin – ihr wisst schon, re:publica – das große Bloggertreffen ohne Kontroversen. Da hat man sich nicht nur getroffen, gehändeschüttelt und gevortragt; es gab auch jemanden der dort für Extrastimmung gesorgt hat. (weiterlesen…)
