News WordPress über unverschlüsseltes Cookie angreifbar

[flappes]

Aber mal ganz ehrlich: Hat so etwas denn Auswirkungen? Nein, Wordpress wird immer weiter empfohlen. Gerade Einsteiger stürzen sich drauf wie Fliegen aufs Aas.

Ja und warum ist das so? Wahrscheinlich weil WordPress so einfach ist.
Auf was sollen sich die Leute denn sonst stürzen? TYPO3? LOL.

 

[Domi83]

@dMopp, die großen ISP biete IPv6 an, aber was ist mit den Servern auf denen die Domains liegen. Da gibt es noch einige ältere Systeme wo noch kein IPv6 eingerichtet ist und dann kommt noch dazu, dass einige Domains vielleicht gar keinen AAAA Eintrag besitzen. Da hätten wir doch aber den nächsten Ansatz, oder irre ich mich?

Und was ist mit der Behauptung, dass dein Nginx den Referrer auslesen kann?

@flappes, Contao oder Joomla gäbe es da auch noch TYPO3 ist ein Krampf für sich. Klar, es bietet bestimmt viele Features. Aber wenn ein Kunde zu mir kommt und sagt "ich will XXX und hab ne TYPO3 Seite" darf er zu einem anderen Dienstleister gehen der ihm hilft. Selbst ich, der seit Jahren in dem Bereich arbeitet, habe keine Lust mich mit Typo3 auseinander zu setzen

Wordpress setzt nicht auf Sicherheit. Überall wird nur mit MD5 gehasht, auch bei der Passwörtern in der DB. Eine aktuelle Grafikkarte killt dir das Ding in ein paar Stunden.

Hö... Jetzt bin ich gerade noch mehr Verwirrt als vorher

 

[dMopp]

Thema refferer:

217.86.233.29 - - [27/May/2014:13:59:09 +0200] "GET / HTTP/1.1" 200 6563 "https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0CEUQFjAC&url=https%3A%2F%2Fwww.dmopp.de%2F&ei=8n2EU-nXLPKh7Aamv4GQCw&usg=AFQjCNH8YimcFYSAarWc7iYjCO1fSsp7Jg&sig2=ovK8u5N-PQpSR2URSK3E4g&bvm=bv.67720277,d.ZGU" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/537.75.14"

Du solltest vielleicht mal deine Herablassende Art etwas mindern, denn meine "Behauptungen" beruhen auf Praxiserfahrung.

 

[-Firebat-]

Ja, gibt sicherlich einige brauchbare CMS, aber rein zum Bloggen?

 

[WulfmanGER]

Thema Referrer, geh auf google.de, schau das es auch die HTTPS verschlüsselte Seite ist (was zu 95% der Fall sein dürfte), gibt einen Suchbegriff ein mit dem Du deinen Blog findest, klick drauf und sag uns ob Du durch den Referrer den dein Nginx erkennt, siehst, welchen Suchbegriff Du eingetragen hast.

wenn ich im Firefox http://www.google.de eingebe, wird direkt auf die https-Version weitergeleitet. Bei Piwik sehe ich dann mal Suchbegriffe und mal nicht. Grund laut Piwik: http://piwik.org/faq/general/#faq_144 ... also hat nichts mit HTTPS zu tun.

Ich finde das aus SEO-Sicht ärgerlich - kann es aber trotzdem ein Stück weit verstehen.

Beim IE auch - direkt https ... bei Zugriff via Google auf meine Seite wird nicht mal erkannt das ich überhaupt über eine Suchmaschine gekommen bin ... [mhhh das scheint die Firmen-FW zu filtern - auf mit dem FF hab ich keinerlei Referrer - nichtmal google.de]

 

[JDK]

@flappes, Contao oder Joomla gäbe es da auch noch TYPO3 ist ein Krampf für sich. Klar, es bietet bestimmt viele Features. Aber wenn ein Kunde zu mir kommt und sagt "ich will XXX und hab ne TYPO3 Seite" darf er zu einem anderen Dienstleister gehen der ihm hilft. Selbst ich, der seit Jahren in dem Bereich arbeitet, habe keine Lust mich mit Typo3 auseinander zu setzen

In Punkto Bedienung und Öko-System ist Wordpress einfach ungeschlagen.

@dMopp
Lässt du User ohne SPDY-Client außen vor, oder hast du da einen Fallback?

 

[dMopp]

Fallback auf https.

Momentan siehts so aus:

http -> 301 -> SPDY/HTTPS. Ob nu spdy oder https genommen wird, kann der Client selber entscheiden.

 

[Domi83]

@Wulfman_SG, genau das ist es nämlich worauf ich hinaus wollte. Darum hatte ich das nämlich noch einmal angesprochen

@dMopp, "herablassend"? Ja ne ist klar... wenn Du das so interpretiert hast, war das nicht meine Absicht und tut mir leid. Aber Du warst derjenige der so etwas gesagt hatte und darauf wollte ich eine Antwort haben. Daran ist nichts herablassend

Aber gut, das Thema ist ja nun WordPress gewesen. Lassen wir das mit dem Refferer also mal weg und meckern wieder über die Software, das sie jedem empfohlen wird und man aktuell nichts wirkliches dagegen unternimmt

 

[dMopp]

Gut, Entschuldigung angenommen. Ich setzte halt selbst auch auf Wordpress, bin nur sehr Strikt was Encryption angeht.. Wer nicht will der fliegt, an den gleichen Zielen arbeite ich auch beruflich, nur etwas sanfter, da auch altes Geld, Geld ist

 

[Daaron]

Hö... Jetzt bin ich gerade noch mehr Verwirrt als vorher

Was gibts da für Verwirrungen? Wordpress verwendet an allen möglichen Stellen MD5 als Hashing-Algorithmus. MD5 ist Schlachtvieh für jede moderne Grafikkarte.
AMD R9 + Hashcat = MD5 eher in Minuten als in Stunden geknackt.

In Punkto Bedienung und Öko-System ist Wordpress einfach ungeschlagen.

Das Ökosystem von Wordpress ist Teil des Problems. Weite Teile des Ökosystems haben Krebs. In einem Test von letztem Jahr wurde festgestellt, dass >20% der Top50-Extensions schwere Sicherheitsprobleme hatten.

 

[Der-Orden-Xar]

Wahnsinn diese Leistung, no comment


@dMopp: Nein bist du nicht
Kein ECDHE_DHE, kein SHA256 als Sig-algo (ok ist schwer zu bekommen, als Privatperson steht deswegen auch kein extended hier), noch SSL3 (und damit den RC4 fallback)

 

[dMopp]

Klar, Note 1 ssllab. Mehr Sicherheit & Kompatibilität geht nicht für Privat

 

[Daaron]

Was bringt dir die Server-Sicherheit, wenn du dann Wordpress verwendest und damit im Zweifel Angreifern Tür und Tor öffnest?

 

[dMopp]

Siehe das Cookie Problem.

Wenn man über PHP ins System kommt, ja dann pech, aber so lange ich den Krams aktuell halte sehe ich da keine größeren Probleme. Wenn ich davor angst hätte, hätte ich keinen Server

Wenn es einer ins Wordpress schafft.. meine Güte dann wird das Ding platt gemacht, neu aufgesetzt und das Backup der Artikel/Struktur eingespielt. Ich bin nicht von vorgestern

 

[Daaron]

Und überwachst du auch jede Extension? Liest du da jede Zeile nach? Wie gesagt... >20% der Top50 sind offen wie ein Scheunentor. XSS, SQL Injection, Path Traversal, remote code execution,... alles dabei.

 

[dMopp]

Dessen bin ich mir bewusst.. Einer der Gründe warum ich nicht so nen murks wie ArchLinux oder Ubuntu als Server OS verwende. Bei den Extensions von Wordpress beschränke ich mich auf die wenigen, die außerhalb des Adminpanels gar nicht ersichtlich sind. So nen Quark wie Performance Tuning über Plugins mache ich auch nicht.

100% Sicher? Nein! Kosten/Nutzen Faktor annähernd Optimal gewählt? Ja !

Ich kümmere mich sowohl um End2End als auch Serverseitig um die Sicherheit. Sicherer gehts auch hier, aber dann leidet die usability so stark, das es kein Sinn macht. Ich bin schließlich keine Bank, auf meinem Server laufen 2 Wordpress sowie 2 DKP Installationen sowie 2 Teamspeak Server, nen Minecraftserver und anderer Kleinkrams. Das alles auf nem Singlecore und 4GB Ram. Ohne Performanceprobleme (aber mit klarer Limitierung bei der Performance, mehr wie 15 Requets in unter 100ms pro Sekunde sind halt dank SingleCore nicht machbar, sofern PHP ne Rolle spielt)

 

[Domi83]

Dessen bin ich mir bewusst.. Einer der Gründe warum ich nicht so nen murks wie ArchLinux oder Ubuntu als Server OS verwende.

Moin moin... Kleine Frage, warum sind denn Distributionen wie ArchLinux und Ubuntu nun Murks in Deinen Augen, wenn es um die Sicherheit der Systeme geht? Ich fahre seit Jahren, oder sogar schon ein Jahrzehnt mit Debian und seit ca. zwei Jahren mit Ubuntu und habe keine Probleme oder Einschränkungen irgendwo feststellen können.

 

[dMopp]

Debian ist Super, die haben ne spitzen sicherheitsupdatepolitik. Ubuntu ist mir zu unstable und ArchLinux... Naja da biste Vollzeit beschäftigt

 

[Daaron]

Ubuntu LTS ist rock solid... und hat deutlich mehr Security Features in der Kernel-Konfig aktiv als Debian. Soviel also zu dir und deinem "Wissen".

Und auch bei den Plugins sprach ich nicht von Performance Tuning, wobei WP das weißgott nötig hat, lahmarschige Krücke die es ist.

 

[JDK]

Bin mal auf Drupal 8 gespannt.