WP 2.3 & Sicherheit / Datenschutz

[Morty]

Ich möchte hier kurz auf ein Thema aufmerksam machen, dass meiner Meinung nach etwas bekannter gemacht werden sollte.
Montag (morgen) wird WP 2.3 veröffentlicht, wenn es zu keinen Verzögerungen kommt. Mit dieser Version kommt auch endlich eine Plugin-update-Benachrichtigung. Während diese Funktion an sich sehr gut ist habe ich ein paar Probleme damit.

Und zwar werden folgende Informationen and WP.org übermittelt um herauszufinden ob es eine neue Version gibt:
* Die Wordpress Versionsnummer
* Alle installierten Plugins
* Welche Plugins aktiviert sind
* Die Versionsnummern der Plugins
* Die URL des Blogs

Während ich mit den ersten Punkten nicht so glücklich bin, aber damit leben kann habe ich doch ein großes Problem mit dem letzten Punkt. Da man so genau weiß wer welches Plugin in welcher Version wo installiert hat und dies nun auch noch einer Webadresse zuordnen kann.
Sollte nun eine Schwachstelle in einem der Plugins auftreten kann man mit den Daten gezielte Angriffe starten. Selbiges gilt natürlich auch für Wordpress. Mit der diesen Daten erhält man eine aktuelle Liste mit allen Servern, die ihre Version noch nicht upgedatet haben.

Zum Datenschutzaspekt: Es werden hier unnötige Daten übertragen. Zum betrieb dieser Funktion würde es reichen die namen der Plugins zu übertragen und als Antwort deren Versionsnummern zu erhalten. Diese können dann mit den installierten Versionen abgeglichen werden. Alle anderen Informationen, sind für diese Funktion nicht nötig.

Und bevor das Argument kommt: Ja, die IP kann natürlich auch gelogt werden, und nein das bringt einem wenig weil sich meistens hunderte Domains eine IP teilen und man nicht weiß wie viele Subdomains es gibt und ob Wordpress evtl in einem Unterverzeichnis läuft.

[jottlieb]

Ohne das jetzt werden zu wollen...
Aber es sollte doch problemlos und ohne großen Aufwand möglich sein, die Update-Funktion durch eine eigene (in einem Plugin) zu ersetzen so dass nur eine (oder keine) NonSense-URL übermittelt wird.

Zitat:

Sollte nun eine Schwachstelle in einem der Plugins auftreten kann man mit den Daten gezielte Angriffe starten.

Aber nur wenn diese Daten auf wp.org geloggt und missbraucht werden.

[Morty]

Zitat:

Zitat von jottlieb

Ohne das jetzt werden zu wollen...
Aber es sollte doch problemlos und ohne großen Aufwand möglich sein, die Update-Funktion durch eine eigene (in einem Plugin) zu ersetzen so dass nur eine (oder keine) NonSense-URL übermittelt wird.

Beides ist Möglich. Ein Plugin zum deaktivieren gibt es schon, allerdings wurde das aus anderen Gründen geschrieben und deaktiviert eine wichtige Sicherheitsfunktion (die info, dass es ein update gibt). Natürlich könnte man auch ein plugin schreiben welches die Funktion ersetzt. Aber darum geht es mir auch nicht. Hier werden unnötig viele Daten übertragen ohne, dass der Nutzer davon weiß. Und ich muss mir dieser Problematik erst bewusst sein, bevor ich mir Gedanken darüber mache ein entsprechendes Plugin zu installieren.
Das ich bis morgen nichts ändern kann weiß ich auch. Mir ist wichtig, dass andere bewusst ist, was mir ihren Daten passiert.

Zitat:

Zitat von jottlieb

Aber nur wenn diese Daten auf wp.org geloggt und missbraucht werden.

Das ist richtig. Aber wozu übertragen wenn ich die Daten nicht auswerte. Und es wurden schon ganz andere Server gehackt.

[Nachtwaechter]

Eine Möglichkeit der Abhilfe (die allerdings ein Herumpfuschen im Source ist) habe ich hier beschrieben:

Lumières dans la nuit » Blog Archiv » Datenschutzproblem in WordPress 2.3

[Putzlowitsch]

Unklar ist mir übrigens noch, wo und wann die Funktion überhaupt aufgerufen wird. Einen direkten Aufruf von wp_update_plugins konnte ich nirgends entdecken und auch das add_action( 'load-plugins.php', 'wp_update_plugins' ) bleibt ohne Wirkung, denn es gibt kein dazu passendes do_action. Auch eine 'load-plugins.php' scheint es nicht zu geben.

Gruß
Ingo

[jottlieb]

/wp-admin/includes/update.php

[Putzlowitsch]

Zitat:

Zitat von jottlieb

/wp-admin/includes/update.php

???
Ja da wird sie deklariert, aber wo wird sie aufgerufen? Kann ich ehrlich gesagt nicht finden (ich beziehe mich auf RC1)

Gruß
Ingo

[jottlieb]

Zitat:

Zitat von Putzlowitsch

???
Ja da wird sie deklariert, aber wo wird sie aufgerufen? Kann ich ehrlich gesagt nicht finden (ich beziehe mich auf RC1)

Achso Sorry. Hab nur schnell zwischen Tür und Angel in den Beitrag geschaut.
Und kann dir leider bei der Frage nicht weiterhelfen.

Ich wollte das ja mal genauer unter die Lupe nehmen hab's aber nichmal geschafft den Traffic bei der Kommunkation mit api.wordpress.org zu sniffen geschweige denn durch ein remove_action oder add_action (auf eine eigene Funktion) die Funktion zu killen.
Eventull hat mir bei letzterem auch der Browsercache einen Streich gespielt.

[Putzlowitsch]

Ja ist ja auch schon spät

Ich behaupte mal, die Funktion wird noch gar nicht aufgerufen, aber es ist ja auch nur die RC1. In der finalen 2.3 wird das sicher dann mit einem passenden add_action do_action an der vorgesehenen Stelle eingeklinkt.

Gruß
Ingo

[jottlieb]

Zitat:

Zitat von Putzlowitsch

Ja ist ja auch schon spät

Ich behaupte mal, die Funktion wird noch gar nicht aufgerufen, aber es ist ja auch nur die RC1. In der finalen 2.3 wird das sicher dann mit einem passenden add_action do_action an der vorgesehenen Stelle eingeklinkt.

Doch, sie wird schon aufgerufen
Ich habe aus Spaß mal Akismet um 0.0.2 Versionen älter gemacht und schon kam die Meldung. Ich nutze die RC1-Build vom 21.9..