RSS Feed
Mai 11

WordPress Sicherheit

Posted on Dienstag, Mai 11, 2010 in Datenschutz, Linux, PHP, Sicherheit, Web

Angeblich gibt’s ja wieder WordPress Sicherheitsprobleme. Leider ist nirgends was Konkretes zu finden, im April gab’s sowas Ähnliches schonmal: Damals war es aber eindeutig die Konfiguration bei manchen Shared-Hosting Anbietern – eine alte Geschichte.

Summary: A web host had a crappy server configuration that allowed people on the same box to read each others’ configuration files, and some members of the “security” press have tried to turn this into a “WordPress vulnerability” story.

via WordPress › Blog.

Jetzt wird spekuliert, ob es

  • Shared-Hosting Rechte im Dateisystem
  • Shared-Hosting Installationsscripts
  • Shared-Hosting fremder Traffic
  • phpMyAdmin
  • PHP generell
  • womöglich der Linux Kernel

ist. Komisch, kann doch eigentlich nicht so schwer sein, die Fehler auf einem “befallenen” Blog nachzuvollziehen …

(Serendipity war ein anderes Problem.)

Comments (2) |
Mai 7

POP3 Webmail: Cracker Mail

Posted on Freitag, Mai 7, 2010 in PHP, Software, Web

Die meisten Scripts für Webmail können “nur” IMAP.

Manche Leute haben kein IMAP. Kostet ja ein paar Cent im Monat. Zu umständlich. Brauch ich eigentlich nicht. usw…

Also ein poppender Webmailer: Cracker Mail

Anforderungen

Die Software ist recht klein (121 KByte) und benötigt ausschließlich php, kein MySQL

großes Aber

Nach meiner Erfahrung gibt es Probleme mit Freemailern, wie GMX und WEB, da es hier zu Problemen in der Abfrage kommt. Ebenso ist es mit GMAIL, da hier die Ports unterschiedlich sind.

Tja, das war bisher noch bei allen POP3-Webmail Scripts, die ich getestet habe, so. Leute nehmt halt IMAP! Es geht nicht anders! (und dann aber Roundcube)

via bueltge.de

Comments (0) | Tags:
Mai 4

SchülerVZ Crawler

Posted on Dienstag, Mai 4, 2010 in Datenschutz, PHP, Sicherheit

netzpolitik.org: Wie bist Du vorgegangen?

Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts). Dann nur noch Programm anschmeißen und abwarten.

netzpolitik.org: War das crawlen der Daten einfach?

Florian Strankowski: Jein. Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben, denn auch wenn man vermutet, dass der Aufbau einer Profilseite dem einer Anderen gleicht, ist dies leider nicht der Fall. Auch das letztendliche Crawlen war kinderleicht, nicht einer meiner 800 Accounts wurde gesperrt.

viaNetzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck : netzpolitik.org.

Mehr zu dem SchülerVZ Crawler.

Interessantes:

  • Due to the fact that the developers quite often change things on the website, i had to find a good way to easily see howto crawl through the user profiles. Furthermore, the unique User-IDs have been changed from static to variable IDs, atleast this is what we see when we access a userprofile. Everytime you logon, with a different account, someones user-id looks different to previous requests using other accounts. This makes it quite hard to collect data without having multiple duplicate entrys using the user-id as primary key in a database (primary keys may only occur once in a db).
  • Bei dem Crawler handelt es sich um PHP-Scripts.
Comments (0) |
Apr 17

Permalinks ändern

Posted on Samstag, April 17, 2010 in PHP, Web

Permalinks ändert man in WordPress mit wenigen Mausklicks.

Dabei hilft das Plugin Permalinks Migration. Dort muss man nur die alte Linkstruktur eingeben, die neue in den normalen WordPress-Optionen festlegen. Das war’s. Die alten Seiten werden dann mit 301 Moved Permanently ausgeliefert.

GET http://blog.chris123.net/2010/02/wie-kann-ich-mich-selbstbefriedigen/ HTTP/1.1
Host: blog.chris123.net
User-Agent: Mozilla/5.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Proxy-Connection: keep-alive
Cookie: :-)  ; PHPSESSID=
If-Modified-Since: Sat, 17 Apr 2010 17:16:16 GMT

HTTP/1.1 301 Moved Permanently
Date: Sat, 17 Apr 2010 17:18:35 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
X-Powered-By: PHP/5.2.12
X-Pingback: http://blog.chris123.net/xmlrpc.php
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
Last-Modified: Sat, 17 Apr 2010 17:18:36 GMT
Location: http://blog.chris123.net/wie-kann-ich-mich-selbstbefriedigen/
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Connection: close

via servervoice.de

Comments (0) | Tags:
Mrz 25

Zeilenumbruch in WordPress

Posted on Donnerstag, März 25, 2010 in PHP, Web

Standardmäßig löscht der WordPress Zeilenumbrüche. Folgende akzeptiert er:

<br class="clear" />
<p style="clear: both"> </p>

via stillebacher.at

Comments (0) |
Feb 3

WordPress Visitor Tracking

Posted on Mittwoch, Februar 3, 2010 in Datenschutz, PHP, Software, Web

Wassup ist genial. Es zeigt an, was welcher Besucher bzw. Kommentar-Autor im Blog gelesen hat. Visitor Tracking sozusagen. Unbedingt installieren ;) !


Comment (1) | Tags:
« Previous Posts