Serendipity-Benutzer anwesend?
Dringender (wenn auch nicht ganz zum law blog passender) Hinweis an all diejenigen der Leser hier, die selbst bloggen und die Software Serendipity benutzen:
Bitte schnellstmöglich auf die neue Version 1.5.3 aktualisieren. Im Rahmen des “Month of PHP Security” hat Stefan Esser eben auf eine gravierende Sicherheitslücke hingewiesen, mit der beliebiger PHP-Code in das Blog eingeschmuggelt werden kann.
Die aktuelle Version findet sich hier zum Download.
(Autor: fh)
Danke!
Und für alle, die nicht mal eben so updaten können oder wollen:
http://blog.s9y.org/archives/217-Serendipity-1.5.3-released,-Security-Issue-with-Xinha.html
mit Workaround, um die unsicheren Datei loszuwerden!
Fh, wenn ich Neuigkeiten über Serendipidibpiy lesen will, welches Blog abonniere ich dann? Das von Serendipidibpiy. Und wenn mich deine Sicherheitsratschläge interessieren würden, wessen Blog würde ich dann abonnieren? Deins!
Und wenn ich sinnlose, nölige Kommentare lesen will, welches Blog abonniere ich dann? Dieses hier. Insofern ist aus meiner Sicher alles in Ordnung.
@igel: Vollnuss…
@igel: Hauptsache meckern.
Danke Florian! Ich hatte von der Sicherheitslücke noch nichts mitbekommen.
Na Gott sei Dank hat Strato mir meine Installation vor ner Woche zerschossen durch nen Sidegrade. Da hab ich ja nochmal Glück gehabt :-)
Danke für die Nachricht, ist ja nicht so als ob S9Y sonst irgendwo in den News auftauchen würde!
@igel: Vielen lieben Dank!
Gerade habe ich dank Dir eine Club Mate gewonnen. Hättest Du auch nur eine Minute später gepostet, wäre die "Halbe Stunde bis Heisetroll"-Frist rum gewesen. :-)
WordPress soll ja auch Probleme haben, aber da war aus der heise Meldung nicht ersichtlich, ob es nun ein WordPress oder PHP Problem war.
Da aber hauptsächlich WordPress Blogs geknackt wurden, sollte man da im Moment auch aufpassen.
@fh Club-Mate ist ja jetzt auch böse. Oder bösegut. Oder so. Siehe http://www.internet-law.de/2010/05/club-mate-brauerei-mahnt-blogger-ab.html
@Anno: Ja – das scheint aber wohl bislang nur auf Shared Hosting Plattformen aufzutreten. Ich hab das Problem auf dem Schirm, aber bislang ist hier nichts passiert, und das Setup sollte auch zumindest geringfügig sicherer als Default sein. Danke für den Hinweis, trotzdem!
@Chris: Jo – einer der Menschen hinter Blogsport ist ein Ex-Kollege und Freund von mir, ich bekomme das quasi fast live mit. Inzwischen vertragen sich da ja alle wieder, war wohl nur ein Mißverständnis.
abgesichert ist schon, upgraden tue ich dann wohl wenn Zeit ist…
Aber interessant das ich direkt nacheinander die s9.org news und das hier gelesen habe, feedreader ftw *g*
Danke für den Hinweis,
in letzter Zeit werden ja reihenweise Blogs und Server geknackt und man holt sich ja nicht täglich news von allen CMS und Blogsystemen…
Hm, ich abboniere überhaupt keine BLOGs. Ich lese die einfach. Ist das auch ok? :-)
Nervig, diese fehlende Edit-Funktion nach einem Tippfehler. Sollte natürlich "abonnieren" heißen.
@Rangar:
Find ich auch, aber das hat ja schon mal sehr gut funktioniert…
@fh Kann man nicht eine einfache Sicherheitsabfrage (3stellige Zahl o.ä., die nach dem kommentieren angezeigt wird) zusätzlich einführen, mit der man Tippfehler eine Zeit lang beseitigen kann?
Damit wäre dann sichergestellt, dass nur der Verfasser den Kommentar ändert.
Ich weiss, dass man für sowas nie Zeit hat, aber, so wie ich das verstanden habe, ist das Blog ja eh nur als Hobby zu rechtfertigen.
P.S.: als absoluter Laie kann ich den Aufwand dafür nicht beurteilen …
Viel Grüße
danke für die info.
@GxS: Das Problem ist ein anderes: Um die Postings zu dem Kommentator zuzuordnen nutzt das Plugin die IP-Adresse des Posters. Das bringt dann z.B. bei Mobilfunkbenutzern Probleme mit sich, da hier sich viele User eine externe IP-Adresse teilen. Nachdem es mehrfach Beschwerden gab, dass User fremde Kommentare editieren können, habe ich das Ding deaktiviert.
Im Prinzip ist angedacht, dass ich das irgendwann mal neu schreiben sollte, z.B. mit Cookies statt IP-Adressen – nur stecke ich gerade bis zur Nasenspitze in deutlich dringenderen Projekten. Sollte jemand anderes hier ein Plugin für WordPress finden oder gar schreiben, dann baue ich das gerne ein. Ich selbst werde aber in den nächsten Wochen garantiert nicht die Zeit dafür haben, ich bin schon froh, wenn ich die Kommentarmoderation hier halbwegs auf die Reihe bekomme, wenn Udo mal nicht da ist :-)
Danke…
Ich weiss, dass man das nur auf lange Sicht realisieren kann
(Monate , bzw. Jahre, wenn das nicht angemessen bezahlt wird…)
Aber das Problem habe ich, wie ich glaube, schon verstanden (darum zusätzlich)
Ich find's auch überflüssig, hier PHP-Bugs zu posten.
PHP-Bugs überhaupt zu posten ist schon ziemlich redundant. SCNR.
@Daniel: lol!
@fh: YMMD! :-)
Aber wo wir gerade bei Technik sind: Die absoluten URLs mit Protokollangabe sind hier nicht so prickelnd. Wenn man via HTTPS reingeht, klickt man auf einen Eintragslink, und schon ist man aus HTTPS wieder draußen. :-/ (BTW: Er ruft auch beim HTTPS-Aufruf irgendeine Resource der Seite mit HTTP auf – auch nicht nett.)
Und wo wir schon beim Nölen sind >;->: Eine Vorschaufunktion würde die Abwesenheit des nachträglichen Editierens schon abmildern. Und warum das Editieren an die IP koppeln? Mit der EMail-Adresse, ggf. gepaart mit der IP, ist es zwar nicht perfekt, sollte aber schon besser funktionieren …
Gibt's eigentlich irgendwann eine Mobilversion von diesem Blog?
Ich bin auch eher gegen das Veroeffentlichen von Sicherheitshinweisen zu PHP-Bugs… Ich lese diesen Blog, weil ich die juristischen Posts sehr interessant finde, auch die Kommentare dazu. Ich finde PHP-Bug Hinweise hier fehlplatziert, der Blog hat ein klares Thema und bei dem sollte es bleiben. Wer PHP einsetzt liest ja hoffentlich ein entsprechendes Blog/Forum/Newspage/whatever und die Information ist damit hier ueberfluessig.
@Cybaer: HTTPS/HTTP ist ein WordPress-Problem, da hab ich mir schon mehr als einen Nachmittag um die Ohren gehauen, um das dauerhaft zu entsorgen, aber sauber geht das leider nicht. Ich hoffe da auf die Version 3.0, die dieses Jahr noch rauskommen soll. Im Moment schreibt WordPress da an enorm vielen Stellen die Url absolut rein, und HTTPS only will ich wegen CaCert und den damit verbundenen Warnungen nicht machen.
Vorschaufunktion wäre eine Idee, aber wie schon oben geschrieben: Momentan fehlt mir die Zeit. Die Entscheidung für "IP" habe nicht ich getroffen, das war ein vorgefertigtes Plugin, daher kann ich da über die Beweggründe nichts sagen.
@Monastereo: Ich glaube nicht. Der Wunsch kommt selten, die Umsetzung wäre sehr aufwendig, da da von neuer Template bis Reverse Proxy anpassen ziemlich viel dahinter steckt, und Mobilbrowser werden immer besser, so dass das in absehbarer Zeit sowieso überflüssig werden sollte.
@Daniel: Die Entscheidung für das Announcement dieses spezifischen Bugs habe ich deshalb getroffen, weil es ein schwerer Bug ist, der speziell Blogsoftware betrifft – und hier viele Blogger unterwegs sind. Ausserdem ist Udo gerade im Urlaub, dementsprechend ist auch wenig los, da sehe ich nicht, dass es sonderlich stört. Ich kann Dir aber versichern, dass es die Ausnahme bleiben wird, 99% der PHP-Bugs da draussen haben für die meisten Besucher hier auch keine ähnlich gravierenden Auswirkungen.
Wobei ich die immer wiederkehrende Argumentation, es gäbe hier nur juristische Postings, nicht nachvollziehen kann – Udo schreibt ja durchaus eher über den Themenkomplex "Juristisches, Internet, Soziales und (Netz?-)Kultur", die nicht zwingend immer nur Juristisch sind. ;)
Udo hält mehr aus. Und löscht nicht Kommentare, die ihn kritisieren. Was genau war nochmal die Löschbegründung?
@Franz: Das hat nichts mit aushalten zu tun, sondern damit, dass "me, too" Kommentare relativ sinnlos sind. Schau dir die Kommentare hier doch mal an, da ist durchaus auch Kritik an mir bzw dem Posting. Sollte dir tatsächlich an einer Diskussion gelegen sein: Sehr gerne, ernsthaft. Meine Beweggründe habe ich bereits dargestellt, wo sind deine Gegenargumente?
Aber nur einfach rumstänkern: Bitte sonstwo, nicht hier, das Quoten-Meckerposting hat #2 bereits erledigen dürfen.
Ich finds ok dass das hier geposted wird. Wer so rummeckert wie Igel hat wohl einfach ein Aufmerksamkeitsdefizit oder wurde von seinen Eltern als Kind nicht lieb genug gehabt.
Finde das auch gut. Als Michael Jackson erschossen wurde haben ja auch die Fernsehsender ihr Programm unterbrochen und die Zuschauer nich gesagt "das hat jetzt aber nichts mit "Mitten im Leben" zu tun! Hätte ich tote Musiker sehen wollen, hätte ich VH1 angeschaltet."
Ich kann mich nur für den Hinweis bedanken, auch wenn ich ihn nicht hier erwartet hätte. :)
@fh: Me-too-Kommentare sind verboten, aber 4,5, und 29, die teils ehrverletzend dir recht geben, werden nicht gelöscht. Vielleicht hat es doch etwas mit "aushalten" zu tun?
@Franz: Jetzt wirds albern, ganz ehrlich. Warum um alles in der Welt sollte ich ein simples "mich schon" nicht aushalten, insbesondere, wenn ich so Kommentare wie #2 stehen lasse?
Du und dein alter Ego igel, ihr amüsiert mich, da gibt es nichts auszuhalten. Ich hatte jahrelang das Vergnügen, aktiv an Kommunikationsforen wie der internen Mailingliste des CCC teilzunehmen und dort auch sportliche ad hominem Attacken von Fefe und Co über mich ergehen zu lassen – das schult, was "aushalten" angeht.
Insofern: Ja, ich verstehe und sehe, dass Du mit einem Posting hier nicht einverstanden bist. Ich habe dargelegt, warum ich das anders sehe. Solltest Du inhaltlich noch etwas beizusteuern haben, noch einmal: Bitte, sehr gern. Ehrlich.
Ansonsten möchte ich Dich bitten, Deine Zeit mit irgendetwas sinnvollerem zu verbringen – es gibt so viel angenehmere Dinge im Leben als sich ständig neu vergewissern zu wollen, ob ich vielleicht jetzt doch noch wegen deines Kommentares depimiert bin.
@fh: Du bist nicht auf 4,5, 29 eingegangen. Was genau sind noch einmal die Regeln, nach denen gelöscht wird? Ich hab sie noch nicht völlig verstanden.
@Franz: Die offiziellen "Regeln" stehen im Impressum.
Wobei ich da auch gerne die grossartige Kate Harding zitiere: "There are patterns that will be identifiable to anyone who pays attention, but they aren’t set in stone. And if I make a list of shit that will get you deleted and/or banned, I can be certain that some ill-natured and vexatious person will come along, piss me off for some reason not on the list, get deleted and/or banned, and then whine, “But I abided by the comments policy!” I’m not even dealing with that, y’all." – wobei auch der Rest des Textes hier zutrifft: http://kateharding.net/comments-policy/
Mit dem Unterschied allerdings, dass ich manchmal bei einem langweiligem Arbeitstag mir die Freiheit nehme, und die "warum wurde das gelöscht" Diskussion gerne führe. :-)
@fh: Im Impressum steht, dass du tun kannst, was du willst. Und das ist genau der Punkt: du löschst, wenn alles andere gleich ist, eher Posts, die dich kritisieren. Bei Udo hatte man dieses Gefühl nie (ich habe natürlich keine Zahlen). Es gibt ihm eine gewisse Größe, die dir fehlt.
@Franz: Gut, du findest mich also doof. Das war mir schon nach dem ersten Posting klar. Können wir uns da also darauf einigen, und damit EOD deklarieren? :-)
@fh: Das ist eine völlig inakkurate Zusammenfassung meiner Ausführungen. Ich wiederhole sie dann beim nächsten langweiligen Posting/bei der nächsten (oder so) Wut-Löschung.
@fh:
Bei uns hat https-for-wordpress gut funktioniert. Aber da das wohl mit manchen Plugins Probleme macht …
Bin Serendipity-Anwender. Hatte zwar schon geupdatet, aber ich freue mich trotzdem über diesen Hinweis. Wer freut sich denn nicht, wenn jemand ihm helfen will?