Jetzt hab ich auch ein (unsicheres) Blog…
So, nun hab ich auch mal ein Blog eingerichtet. Gibt ja erst 70 Millionen Blogs, da fehlt ganz sicher noch meines.
Ich hab mir dazu WordPress ausgesucht, weil es mir zunächst ausgereift und gut zu bedienen vorkam. Pustekuchen. Mit der Sicherheit ist es nicht weit her.
Sämtliche Passworte und Cookies werden im Klartext übertragen. (Vorsicht also für registrierte Benutzer.) Das ist natürlich nicht schön, ein Blog auch über Sicherheit zu machen und dann das Administrationspasswort im Klartext rüberzuschicken. Die Lösung wäre, das Blog nochmal im HTTPS-Server einzublenden, wie auch schon im WordPress-Forum verschiedentlich diskutiert und experimentiert wurde.
Nur: WordPress sträubt sich beharrlich dagegen, die Zugangsdaten verschlüsselt zu übertragen. Sämtliche Links werden absolut herausgegeben, womit man die Spiegelung wieder auf die unverschlüsselte Seite zurücklinkt. Mit einigen Tricks und Rewrites hab ich es hinbekommen, laufe dann aber in das nächste Problem: Manche der WordPress-Seiten verwenden doch relative URLs, d.h. berechnen sie aus dem Request. Ein gespieltes Blog taucht daher unter zwei verschiedenen Unterpfaden auf. Die Cookies, die es setzt, gelten aber nur für jeweils einen davon. So kann es passieren, daß sich der Browser in einer Endlosschleife verfängt: Die Admin-Seite sieht das Cookie nicht und redirected einen erst einmal zur Anmeldeseite. Die aber sieht das Cookie, erkennt, daß man schon angemeldet ist, und redirected einen sofort wieder zurück. Und so weiter. Nach dem dritten Mal wird’s dem Browser zu blöd und er gibt beleidigt ne Fehlermeldung aus. Da haben offenbar verschiedene Autoren dran geschrieben und sich nicht abgestimmt. Gar nicht schön.
Im WordPress-Forum wird eine Methode vorgeschlagen, die an sich schon bemerkenswert ist: Im normalen Blog (unverschlüsselt, virtueller Webserver) wird einfach für die Admin-Seiten ein redirect auf die verschlüsselten Seiten eingerichtet. Das führt zu dem absurden Verfahren, daß der Browser zunächst einen Request (mit Passwort, Cookie usw.) an die unverschlüsselte Seite schickt, und auf die verschlüsselte redirected. Das geht so schnell, daß der Admin davon nichts sieht und subjektiv glaubt, immer auf verschlüsselten Seiten zu arbeiten. Zwischendrin gibt’s dann immer einen unverschlüsselten Zugriff, damit der Angreifer auch was davon hat. Bitte, damit ist beiden Seiten gedient. Security kann ja so einfach sein…
Ich bin mal gespannt, was zuerst passiert: Ein Einbruch in die Webseite oder für den Inhalt verklagt zu werden…
Hadmut Danisch