Linux-Kernel kompiliere ich seit fast dem Anfang von Linux an. Damals, als die Kompilation noch den ganzen Mann erforderte und die erste Linux-Distribution noch auf ein paar Disketten paßte. Ich kompiliere Linux-Kernel bis heute.
Deutsches Festplatten-Recht – auch nicht besser
Was die Deutschen treiben, ist auch nicht besser. Der Verfassungsschutz soll “Emails auf Festplatten” lesen dürfen,
Weiterlesen »
Anglikanisches Festplatten-Recht – es gibt kein Entrinnen…
Zwei Vorgänge aus dem anglikanischen Recht können dem rechts- und sicherheitsbewußten Informatiker (oder auch jedem Bürger) ernsthaft Sorgen bereiten:
Die von BMW gekaufte Wissenschaft
Der SPIEGEL berichtete neulich über einen Artikel in der New York Times (“BMW’s Custom-Made University”, inzwischen leider nur noch kostenpflichtig zu haben), in dem berichtet wird, wie BMW die Kontrolle über die Clemson University Weiterlesen »
Mein Laserdrucker – Ist denn der auch frisch?
Kürzlich hab ich mir einen neuen Laserdrucker bestellt. Weiterlesen »
Jetzt hab ich auch ein (unsicheres) Blog…
So, nun hab ich auch mal ein Blog eingerichtet. Gibt ja erst 70 Millionen Blogs, da fehlt ganz sicher noch meines.
Ich hab mir dazu WordPress ausgesucht, weil es mir zunächst ausgereift und gut zu bedienen vorkam. Pustekuchen. Mit der Sicherheit ist es nicht weit her.
Sämtliche Passworte und Cookies werden im Klartext übertragen. (Vorsicht also für registrierte Benutzer.) Das ist natürlich nicht schön, ein Blog auch über Sicherheit zu machen und dann das Administrationspasswort im Klartext rüberzuschicken. Die Lösung wäre, das Blog nochmal im HTTPS-Server einzublenden, wie auch schon im WordPress-Forum verschiedentlich diskutiert und experimentiert wurde.
Nur: WordPress sträubt sich beharrlich dagegen, die Zugangsdaten verschlüsselt zu übertragen. Sämtliche Links werden absolut herausgegeben, womit man die Spiegelung wieder auf die unverschlüsselte Seite zurücklinkt. Mit einigen Tricks und Rewrites hab ich es hinbekommen, laufe dann aber in das nächste Problem: Manche der WordPress-Seiten verwenden doch relative URLs, d.h. berechnen sie aus dem Request. Ein gespieltes Blog taucht daher unter zwei verschiedenen Unterpfaden auf. Die Cookies, die es setzt, gelten aber nur für jeweils einen davon. So kann es passieren, daß sich der Browser in einer Endlosschleife verfängt: Die Admin-Seite sieht das Cookie nicht und redirected einen erst einmal zur Anmeldeseite. Die aber sieht das Cookie, erkennt, daß man schon angemeldet ist, und redirected einen sofort wieder zurück. Und so weiter. Nach dem dritten Mal wird’s dem Browser zu blöd und er gibt beleidigt ne Fehlermeldung aus. Da haben offenbar verschiedene Autoren dran geschrieben und sich nicht abgestimmt. Gar nicht schön.
Im WordPress-Forum wird eine Methode vorgeschlagen, die an sich schon bemerkenswert ist: Im normalen Blog (unverschlüsselt, virtueller Webserver) wird einfach für die Admin-Seiten ein redirect auf die verschlüsselten Seiten eingerichtet. Das führt zu dem absurden Verfahren, daß der Browser zunächst einen Request (mit Passwort, Cookie usw.) an die unverschlüsselte Seite schickt, und auf die verschlüsselte redirected. Das geht so schnell, daß der Admin davon nichts sieht und subjektiv glaubt, immer auf verschlüsselten Seiten zu arbeiten. Zwischendrin gibt’s dann immer einen unverschlüsselten Zugriff, damit der Angreifer auch was davon hat. Bitte, damit ist beiden Seiten gedient. Security kann ja so einfach sein…
Ich bin mal gespannt, was zuerst passiert: Ein Einbruch in die Webseite oder für den Inhalt verklagt zu werden…
Hadmut Danisch