skip to content

Archiv

WB im Fitness-Studio

Aus Schaden darf man klug werden

Die zuletzt bekannt gewordene Sicherheitslücke hat Einigen die Augen geöffnet. Auch wenn tatsächliche Angriffe bis jetzt (*holzklopf*) ausgeblieben sind, nutzen viele im WB-Team (und ein besonderer Dank an "Hans>NULL") die Feiertage und checken, was das Modul hält.

Es sind vor allem XSS-Verwundbarkeiten, denen derzeit das Augenmerk gilt. Zwar ist XSS für sich allein relativ harmlos, es kann aber in Verbindung mit anderen – noch nicht entdeckten Schwächen - zum Einfallstor werden. Und weil sich XSS-Schwächen sowohl von Entwicklern als auch von Hackern relativ direkt  überprüfen lassen, ist es keine schlechte Idee, hier mal zu beginnen.

Einige Kleinigkeiten sind bereits aufgestöbert worden. Grund zur Panik besteht nicht, aber für Seitenbetreiber lohnt ein Blick ins AMASP, dort werden laufend die frisch geschraubten Module veröffentlicht: www.websitebakers.com

Cross-Site Scripting (XSS) bedeutet, dass Inhalte (meist über Javascript) so eingefügt werden, dass sie für den Browser in einem vertrauenswürdigen Umfeld erscheinen. Konkret wird zb Javascript in Gästebücher so eingegeben, dass das Script ausgeführt wird.

Ebenso Thema sind "strukturelle" Schwächen, etwa aus früheren WB-Versionen übrig gebliebener Code, der, weil er nicht mehr beachtet wird, zum Risiko werden kann. Es kann daher leicht passieren, dass in zukünftigen WB-Versionen einige ältere Module nicht mehr richtig funktionieren; ein Risiko, das leichter in Kauf zu nehmen ist als das Risiko, das von eventuellen Lücken ausgeht. Im ersteren Fall merkt der Seitenbetreiber selbst und sofort, wenn etwas nicht (mehr) geht, im zweiteren Fall merkt er es erst, wenn es zu spät ist.

Eine Woche nach dem "SuperGAU"

Ich betreue sehr viele Seite für Kunden; ebenso wie viele andere WB-User habe ich letztes Wochenende deinstalliert, gecheckt, Passwörter geändert, Mails verschickt… Und mich vor den Reaktionen der Kunden am Montag gefürchtet.

Ich muss sagen: Die Reaktionen fielen durchwegs positiv aus. Nicht dass die Leute Freude über die Lücke hatten, aber sie waren erfreut darüber, dass sofort gehandelt wurde. Das sei keine Selbstverständlichkeit, sie wissen die gute Betreuung sehr wohl zu schätzen. Und ich bin wieder mal mit Kunden ins Gespräch gekommen, die seit ewig ihre Site selbst betreuen und deswegen nur selten bei mir anrufen. 

Neue Passwörter

Es gibt einige Tools im Web, mit denen man die Sicherheit eines Passworts checken kann. Auch ich muss zugeben, dass ich allzu sorglos damit umgegangen bin; ein Zustand den ich jetzt überall ändere.

Das neue Bewußtsein lässt auch so manchen Gratis-Dienst im Web (Passwort-Check?) in neuem Licht erscheinen: Wovon leben die Betreiber eigentlich? Die Werbung allein macht kein Kraut fett. Und selbst wenn man nichts Böses unterstellt: Gratis-Dienste sperren auf und zu; was passiert eigentlich mit den gesammelten Daten?

Nur wer gelegentlich sein Passwort ändert, kann halbwegs sicher sein, dass es nicht schon längst in einer Sammlung mitsamt Namen, Adresse und sonstwas auf DVD verhökert wird.

Back

Kommentar

Name:

E-Mail (required, not public):

Webseite:

Kommentar :

Up
K