Hat der Schäuble unser Wordpress infiltriert?
Erstellt von StoiBär am Montag 24. September 2007
Ganz geheuer ist mir das nicht, was Wordpress da in der Version 2.3 treiben möchte. Laut Maurice werden da automatisiert Daten an Wordpress geschickt, die jeden, der ein wenig auf Datenschutz wert legt, auf die Palme bringen werden. Hintergrund ist eine Benachrichtigungsfunktion welche die Versionsnummern aller installierter Plugins abfragen soll. Das ist eigentlich erst einmal positiv zu bewerten. So könnte jeder User gewarnt werden, wenn er veralte und deshalb eventuell unsichere Plugins verwendet. Warum aber dabei die Adresse des Blogs und der Aktivierungsstatus jedes Plugins an Wordpress geschickt werden soll, ist für mich nicht nachvollziehbar. Auch die Tatsache, dass man die Übertragung nicht abschalten kann und diese Funktion bisher scheinbar kaum bekannt gegeben wurde, bringt einen Geschmack mit, der mich an das erinnert, was unser Bundesinnenminister mit seinem Bundestrojaner vor hat. Für mich ist das auf jeden Fall alles zu undurchsichtig und ein Update meiner Blogs vorerst ausgeschlossen.
via Valentin
Nachtrag: Wordpress weist auch im eigenen Blog auf die Datenschutzdiskussion hin.
Dienstag 25. September 2007 um 10:52
Hilf mir mal einer auf die Sprünge, kann an meiner Gehirnerschütterung liegen, aber ich sehe da das Prob noch nicht so… Mit dem Impressum gibt man doch wohl stets “sensiblere” Daten preis, oder nicht? Die URL des Blogs verteilt man im Netz wie Großeltern Bonbons und manche schreiben ausdrücklich in ihre Blogs rein, welche Plugins sie nutzen. Wo ist da die konkrete “Bundestojaner”-Gefahr?
Da mach ich mir eher Gedanken um GMail-Nutzung und Google-Suchergebnis-Speicherung.
Dienstag 25. September 2007 um 10:55
Ah, lesen bildet, habe gerade den Forumsbeitrag gefunden, den das WP-Deutschland-Blog verlinkt… Hm….
Dienstag 25. September 2007 um 10:58
Warum muss irgendwo erfasst werden, welches Plugin unter meiner URL aktiviert ist? Bekannte Schwachstellen können dann gezielt angegriffen werden. Wen geht es überhaupt etwas an, was ich da installiert habe? Wo ist das gespeichert? Wer hat da alles Zugriff?
Dienstag 25. September 2007 um 11:14
Jo, begriffen…is ja übel… Das ist ungefähr so, als würde der Hausmeister eines Wohnsilos Leitern an alle jene Balkons stellen, deren Wohnungsbewohner bei Abwesenheit ihre Fenster ständig auf kipp stehen haben… *lol*
Dienstag 25. September 2007 um 14:36
Ich *vermute* dass mit den Daten Statistiken für die Plugin-Autoren erstellt werden. Die Blog-Adresse ist dabei eine schöne ID, oder?
Was Automattic sonst noch damit anstellt wird sich zeigen. Ich könnte mir vorstellen dass sie diese Metrik auch benutzen um beliebte Plugins in Core aufzunehmen.
Dass der Vergleich mit dem Bundestrojaner hinkt weisst Du ja vermutlich selbst. Einerseits kann jeder im Quellcode nachsehen welche Daten übertragen werden und das nach Geschmack ändern und für die technisch weniger Versierten gibt es ein Plugin um das automatische Update komplett zu deaktivieren (http://wordpress.org/extend/plugins/disable-wordpress-plugin-updates/).
Dienstag 25. September 2007 um 15:02
Manuell aus dem Quellcode kann man außerdem gerade mal (wenn überhaupt) Informationen zur Hälfte der Plugins holen. Der Rest arbeitet unerkannt. Außerdem ist es ein riesiger Unterschied, ob Daten manuell ausgelesen werden oder ob sie automatisiert – quasi auf Vorrat – erfasst werden, wie es Wordpress jetzt macht. Die Daten auszulesen und vom User mit einem zusätzlichen Plugin zu verlangen, dass er sich vor der Sammelwut schützen muss, ist der falsche Weg. So macht es Microsoft und jeder schimpft darüber.
Dienstag 25. September 2007 um 22:36
Ich geb Dir natürlich Recht dass es dumm gelaufen ist dass sie nicht veröffentlicht haben was übertragen wird und wozu es verwendet wird.
(Gibt’s eigentlich schon einen Patch der die Aktiv-Liste leert und den Blog-Namen verschleiert?)
Und genau das meine ich: Hier hat man eine Chance was dagegen zu tun. Wenn Dein Windows ohne Aktivierung nen Gang zurückschaltet bist Du machtlos.
Mittwoch 26. September 2007 um 11:27
Zumindest im Moment funktioniert der Service auch wenn man weder seine Blog-Adresse noch die aktiven Plugins preisgibt.
Leider lässt sich das nicht per Plugin machen, sondern man muss die Datei wp-admin/includes/update.php bearbeiten.
Falls ich es eleganter hinbekomme mache ich daraus gerne ein Update, bis dahin gibts den Code nur auf Anfrage.
Mittwoch 26. September 2007 um 12:11
Ach was soll’s, ich weiss nicht ob ich dazu komme ein Plugin zu schreiben, hier ist der Code: http://f00f.de/blog/2007/09/26/wie-man-wordpress-23-schweigsamer-...
Mittwoch 26. September 2007 um 13:23
Wordpress 2.3 -done-…
Das Update auf Wordpress 2.3 hat wunderbar geklappt und die Tags ließen sich aus dem vorher von mir genutzten Plugin Simple Tagging gut importieren. Bei der Gelegenheit habe ich einige Plugins auf die neuesten Versionen gebracht. Es läuft al…
Dienstag 16. Oktober 2007 um 12:15
[...] dass es ein leichtes sei, doch auch, dass es in der neuen Version einen *nichtausschaltbaren* quasi Logger gibt, welcher Wordpress.org die installierten Plugins aufzeigt und in dessen Hause [...]
Samstag 12. September 2009 um 02:06
Ich merke gerade das ich diesen Blog deutlich öfter lesen sollte- da kommt man echt auf Ideen.