Hat der Schäuble unser WordPress infiltriert?

Ganz geheuer ist mir das nicht, was WordPress da in der Version 2.3 treiben möchte. Laut Maurice werden da automatisiert Daten an WordPress geschickt, die jeden, der ein wenig auf Datenschutz wert legt, auf die Palme bringen werden. Hintergrund ist eine Benachrichtigungsfunktion welche die Versionsnummern aller installierter Plugins abfragen soll. Das ist eigentlich erst einmal positiv zu bewerten. So könnte jeder User gewarnt werden, wenn er veralte und deshalb eventuell unsichere Plugins verwendet. Warum aber dabei die Adresse des Blogs und der Aktivierungsstatus jedes Plugins an WordPress geschickt werden soll, ist für mich nicht nachvollziehbar. Auch die Tatsache, dass man die Übertragung nicht abschalten kann und diese Funktion bisher scheinbar kaum bekannt gegeben wurde, bringt einen Geschmack mit, der mich an das erinnert, was unser Bundesinnenminister mit seinem Bundestrojaner vor hat. Für mich ist das auf jeden Fall alles zu undurchsichtig und ein Update meiner Blogs vorerst ausgeschlossen.

via Valentin

Nachtrag: WordPress weist auch im eigenen Blog auf die Datenschutzdiskussion hin.

12 Gedanken zu „Hat der Schäuble unser WordPress infiltriert?“

  1. Hilf mir mal einer auf die Sprünge, kann an meiner Gehirnerschütterung liegen, aber ich sehe da das Prob noch nicht so… Mit dem Impressum gibt man doch wohl stets „sensiblere“ Daten preis, oder nicht? Die URL des Blogs verteilt man im Netz wie Großeltern Bonbons und manche schreiben ausdrücklich in ihre Blogs rein, welche Plugins sie nutzen. Wo ist da die konkrete „Bundestojaner“-Gefahr?

    Da mach ich mir eher Gedanken um GMail-Nutzung und Google-Suchergebnis-Speicherung.

  2. Warum muss irgendwo erfasst werden, welches Plugin unter meiner URL aktiviert ist? Bekannte Schwachstellen können dann gezielt angegriffen werden. Wen geht es überhaupt etwas an, was ich da installiert habe? Wo ist das gespeichert? Wer hat da alles Zugriff?

  3. Jo, begriffen…is ja übel… Das ist ungefähr so, als würde der Hausmeister eines Wohnsilos Leitern an alle jene Balkons stellen, deren Wohnungsbewohner bei Abwesenheit ihre Fenster ständig auf kipp stehen haben… *lol*

  4. Ich *vermute* dass mit den Daten Statistiken für die Plugin-Autoren erstellt werden. Die Blog-Adresse ist dabei eine schöne ID, oder?
    Was Automattic sonst noch damit anstellt wird sich zeigen. Ich könnte mir vorstellen dass sie diese Metrik auch benutzen um beliebte Plugins in Core aufzunehmen.

    Dass der Vergleich mit dem Bundestrojaner hinkt weisst Du ja vermutlich selbst. Einerseits kann jeder im Quellcode nachsehen welche Daten übertragen werden und das nach Geschmack ändern und für die technisch weniger Versierten gibt es ein Plugin um das automatische Update komplett zu deaktivieren (http://wordpress.org/extend/plugins/disable-wordpress-plugin-upda...).

  5. Manuell aus dem Quellcode kann man außerdem gerade mal (wenn überhaupt) Informationen zur Hälfte der Plugins holen. Der Rest arbeitet unerkannt. Außerdem ist es ein riesiger Unterschied, ob Daten manuell ausgelesen werden oder ob sie automatisiert – quasi auf Vorrat – erfasst werden, wie es WordPress jetzt macht. Die Daten auszulesen und vom User mit einem zusätzlichen Plugin zu verlangen, dass er sich vor der Sammelwut schützen muss, ist der falsche Weg. So macht es Microsoft und jeder schimpft darüber.

  6. Ich geb Dir natürlich Recht dass es dumm gelaufen ist dass sie nicht veröffentlicht haben was übertragen wird und wozu es verwendet wird.

    (Gibt’s eigentlich schon einen Patch der die Aktiv-Liste leert und den Blog-Namen verschleiert?)

    Und genau das meine ich: Hier hat man eine Chance was dagegen zu tun. Wenn Dein Windows ohne Aktivierung nen Gang zurückschaltet bist Du machtlos.

  7. Zumindest im Moment funktioniert der Service auch wenn man weder seine Blog-Adresse noch die aktiven Plugins preisgibt.
    Leider lässt sich das nicht per Plugin machen, sondern man muss die Datei wp-admin/includes/update.php bearbeiten.
    Falls ich es eleganter hinbekomme mache ich daraus gerne ein Update, bis dahin gibts den Code nur auf Anfrage.

  8. Pingback: bojeonline.de
  9. Pingback: @ knowLED.blog ® » Wordpress update 2.3

Kommentare sind geschlossen.