WordPress Deutschland Forum - Einzelnen Beitrag anzeigen

Morty · 23.09.2007, 16:49

Ich möchte hier kurz auf ein Thema aufmerksam machen, dass meiner Meinung nach etwas bekannter gemacht werden sollte.
Montag (morgen) wird WP 2.3 veröffentlicht, wenn es zu keinen Verzögerungen kommt. Mit dieser Version kommt auch endlich eine Plugin-update-Benachrichtigung. Während diese Funktion an sich sehr gut ist habe ich ein paar Probleme damit.

Und zwar werden folgende Informationen and WP.org übermittelt um herauszufinden ob es eine neue Version gibt:
* Die Wordpress Versionsnummer
* Alle installierten Plugins
* Welche Plugins aktiviert sind
* Die Versionsnummern der Plugins
* Die URL des Blogs

Während ich mit den ersten Punkten nicht so glücklich bin, aber damit leben kann habe ich doch ein großes Problem mit dem letzten Punkt. Da man so genau weiß wer welches Plugin in welcher Version wo installiert hat und dies nun auch noch einer Webadresse zuordnen kann.
Sollte nun eine Schwachstelle in einem der Plugins auftreten kann man mit den Daten gezielte Angriffe starten. Selbiges gilt natürlich auch für Wordpress. Mit der diesen Daten erhält man eine aktuelle Liste mit allen Servern, die ihre Version noch nicht upgedatet haben.

Zum Datenschutzaspekt: Es werden hier unnötige Daten übertragen. Zum betrieb dieser Funktion würde es reichen die namen der Plugins zu übertragen und als Antwort deren Versionsnummern zu erhalten. Diese können dann mit den installierten Versionen abgeglichen werden. Alle anderen Informationen, sind für diese Funktion nicht nötig.

Und bevor das Argument kommt: Ja, die IP kann natürlich auch gelogt werden, und nein das bringt einem wenig weil sich meistens hunderte Domains eine IP teilen und man nicht weiß wie viele Subdomains es gibt und ob Wordpress evtl in einem Unterverzeichnis läuft.

23.09.2007, 16:49	#1 (permalink)
Morty PostRank: 1 Registriert seit: 12.02.2007 Beiträge: 22	WP 2.3 & Sicherheit / Datenschutz Ich möchte hier kurz auf ein Thema aufmerksam machen, dass meiner Meinung nach etwas bekannter gemacht werden sollte. Montag (morgen) wird WP 2.3 veröffentlicht, wenn es zu keinen Verzögerungen kommt. Mit dieser Version kommt auch endlich eine Plugin-update-Benachrichtigung. Während diese Funktion an sich sehr gut ist habe ich ein paar Probleme damit. Und zwar werden folgende Informationen and WP.org übermittelt um herauszufinden ob es eine neue Version gibt: * Die Wordpress Versionsnummer * Alle installierten Plugins * Welche Plugins aktiviert sind * Die Versionsnummern der Plugins * Die URL des Blogs Während ich mit den ersten Punkten nicht so glücklich bin, aber damit leben kann habe ich doch ein großes Problem mit dem letzten Punkt. Da man so genau weiß wer welches Plugin in welcher Version wo installiert hat und dies nun auch noch einer Webadresse zuordnen kann. Sollte nun eine Schwachstelle in einem der Plugins auftreten kann man mit den Daten gezielte Angriffe starten. Selbiges gilt natürlich auch für Wordpress. Mit der diesen Daten erhält man eine aktuelle Liste mit allen Servern, die ihre Version noch nicht upgedatet haben. Zum Datenschutzaspekt: Es werden hier unnötige Daten übertragen. Zum betrieb dieser Funktion würde es reichen die namen der Plugins zu übertragen und als Antwort deren Versionsnummern zu erhalten. Diese können dann mit den installierten Versionen abgeglichen werden. Alle anderen Informationen, sind für diese Funktion nicht nötig. Und bevor das Argument kommt: Ja, die IP kann natürlich auch gelogt werden, und nein das bringt einem wenig weil sich meistens hunderte Domains eine IP teilen und man nicht weiß wie viele Subdomains es gibt und ob Wordpress evtl in einem Unterverzeichnis läuft.