Tag "sicherheit"

Paypal, die Möchtegern-Bank

25. Juli 2011

Der einzige echte Hinweis darauf, dass Paypal ein ordentliches Kreditinstitut ist: Die Website ist so unglaublich scheiße, dass sie sich optimal zwischen den durchschnittlich unterirdischen Webauftritten der Kreditinstitute unserer Erde einreiht.

Aber was mich wirklich auf die Palme bringt, ist nicht das oder andere Unschönheiten, sondern dass Paypal es nicht mal mit der Internetexpertise von Giganto-Mutterschiff eBay auf die Reihe bekommt, Passwort-Sicherheitsabfragen vorzulegen, deren Antworten NICHT allesamt mit minimalstem Aufwand einem beliebigen, halbwegs nahen Verwandten in volltrunkenem Zustand auf dem Schützenfest aus der Tasche geleiert werden könnten.

Ich meine, schauen wir uns die kreative Leistung der Sicherheitsspezialisten doch mal an:

paypal-sicherheitsabfragen.png

Na das ist doch schlicht genial: Man ist praktisch immer Schuld, da man die Antworten von vornherein nicht geheimhalten kann!

Um meiner Pflicht als sicherheitsbewusster Kunde nachzukommen, muss ich also meine Kindheits-Tagebücher verbrennen, muss die stolzen Fotos meiner ersten eigenen Karre von Facebook und anderen Social Networks löschen (viel Erfolg), die ersten Passagen meines beruflichen Lebenslaufes schwärzen und am besten auch noch ex-Mitbewohner und -Chefs umbringen und verschwinden lassen.

Natürlich nachdem ich alle Familienmitglieder vergiftet habe, welche die Antworten auf die übrigen Fragen ebenfalls wissen – inzwischen würde ich sicher Ãœbung im Umgang mit Spaten, Plastikplane und dem Anpflanzen von Stiefmütterchen haben. Dann, und auch nur dann kann ich im Falle eines Falles mit Fug und Recht behaupten: Niemand außer mir kann diese Fragen beantwortet haben – meine Identität ist damit also zuverlässig damit festzustellen. Ich habe alles getan um mein höchstsensibles Login vor allem Unbill zu schützen und den schwarzen Peter zurück zu Paypal zu schieben.

Ich müsste vielleicht den Rest meiner Tage in einem Staat verbringen, der kein Auslieferungsabkommen mit der Bundesrepublik hat, aber könnte von dort via Internet bequem Geldtransfers via Paypal vornehmen. Das Abwickeln von Zahlungsvorgängen im Internet ist schließlich kein Ponyhof, da muss man Opfer für die Sicherheit bringen!!1

WordPress-Sicherheit: Versionsnummer unterdrücken

13. Oktober 2008

Die Macher von WordPress haben schon häufig Schelte für die Sicherheit ihres Weblog-Systems bekommen. Was tun als Hasenfüßiger Webmaster, der man ist?
Da hat der „WordPress Codex“ seit geraumer Zeit einen passenden Artikel parat, der sich der „Härtung“ von WordPress widmet. Lesen sollte man den schon: Hardening WordPress

Da wird nach der Parole „Security through obscurity“ auch empfohlen, die Versionsnummer der Installation nicht laut herauszuposaunen, damit es die bösen Cracker in der Zeit zwischen Bekanntwerden einer Lücke und der Installation einer gefixten Version nicht so leicht damit haben, „willige“ Opfer zu finden. Na gut, gar nicht so doof!

Leider reicht es dazu nicht aus, einfach das „Generator“-Metatag aus dem Header zu schnipsen. Das System plakatiert seine Versionsnummer an allen Ecken und Enden: in den HMTL-Seiten, in den Feeds und so fort. Das Entfernen des Metatags allein ist bei den letzten Versionswechseln noch ein Stück weit schwieriger geworden – das Tag wird inzwischen von der builtin-Funktion wp_head() erzeugt. Die macht auch noch andere Dinge und ist nicht so leicht verzichtbar.

Abhilfe: der „Generator“-Funktion per Filter einen Riegel vorschieben. Am schnellsten geht das durch Einfügen folgender Zeilen in die function.php des eigenen WordPress-Templates unter /wp-content/themes/THEME-NAME:

function nichts() { 
    return ""; 
} 
add_filter('the_generator','nichts'); 

Das behebt das Problem direkt an der Wurzel, da WordPress auf die Funktion the_generator() an allerlei Stellen zurückgreift. Wer diesen „Schalldämper“ lieber als PlugIn mag (zum ein- und ausknipsen), kann sich natürlich auch mit wenigen Handgriffen selber eines daraus basteln – das macht den Webmaster natürlich auch nicht doofer 😉

WordPress 2.0.7 – Der Mann, den Sie „Updater“ nannten

18. Januar 2007

Vielleicht eines der sehnlichst erwarteten, dafür aber unkompliziertesten WordPress-Updates der letzten Zeit. Die böse, böse Sicherheitslücke, die das Netz in Atem gehalten hat, ist zurückgedrängt.

Wer nicht zu faul war, WordPress 2.0.6 zu installieren, brauchte mit dem inkrementellen Update auf 2.0.7 nur vier Dateien zu überschreiben.

via Golem

WordPress 2.0.5 – Update ahoy

30. Oktober 2006

Nanu, da zwitschert mir doch grade ein Vögelchen, dass es ein WordPress-Upgrade auf Version 2.0.5 gibt.

Als Paranoiker vom Dienst werde ich mir das sofort auf den Webspace schmieren. Wer diese Zeilen lesen kann, darf also getrost davon ausgehen dass die Upgrade-Anleitung von WordPress 2.0.4 auf 2.0.5 einfach und fix zum Ziel geführt hat.

Alle Änderungen – es soll nix schlimmes gewesen sein – finden sich übrigens hier dokumentiert.

*Schnitt*

Hat geklappt und gar nicht wehgetan. Viel Erfolg.