Missi berichtet wieder einmal über Sicherheitsprobleme von WordPress, diesmal handelt es sich um die aktuelle Version 2.11.

Es handelt sich um ein durchaus sehr kritisches Problem, da die Suchfunktion von WordPress die Möglichkeit bietet, per SQL-Injection in der Datenbank herum zu pfuschen.

Idealerweise gibt es bereits eine (inofizielle) Korrektur dieses Fehlers, zu finden ist er hier. Die Änderungen sind in der Datei /wp-includes/query.php vorzunehmen. Wer mit dem diff nicht klar kommt oder sich Änderungen an den Dateien nicht zutraut, bei mir gibt es die bereits modifizierte Datei zum einfachen austauschen auf dem Server. Herunterladen, umbenennen in query.php und in den Ordner /wp-includes/ kopieren. Fertig. Und (vorerst) wieder sicherer…

Missi beschreibt recht ausführlich, wie man für auf WordPress basierenden Blogs die Trackback-URL anpassen kann, um Trackbackspam zu minimieren. Die Idee dahinter ist ganz simpel: Trackbackspammer verlassen sich in der Regel darauf, dass die Trackback-URL in WordPress immer durch ein angehängtes /trackback/ an die Adresse des Artikels erreichbar ist. Benennt man dies um in beispielsweise /nurfuertrackbacks/, erschwert dies den Spammern ihre „Arbeit“. Natürlich verhindert diese Methode nichts, es wird für Spammer lediglich aufwendiger, da für jedes einzelne Blog manuell nach dem Trackback-Link gesucht werden muss und automatisierte Verfahren nicht mehr greifen.

Ich werde diese Anregung sicher in den nächsten Tagen mal testweise umsetzen. Allerdings empfehle ich zusätzlich noch den Einsatz des Trackback Validator Plungins. Dieses überprüft für jeden Trackback, ob sich die URL des eigenen Beitrages auch auf der Seite befindet, die den Trackback abgesetzt hat. Ist dies nicht der Fall, wird (berechtigterweise) Spam angenommen und der Müll aussortiert. Funktioniert hier schon seit einiger Zeit hervorragend.

Mashups sind derzeit ein recht großer Trend im Web und sind in erster Linie auf die Verfügbarkeit diverser APIs für Web2.0-Anwendungen zurückzuführen. Diese bieten Entwicklern die Möglichkeit, direkt auf Funktionen und Inhalte der Services zuzugreifen und diese anderswo zu nutzen.

Nun ist allerdings nicht jeder mit der Fähigkeit gesegnet, eine eigene Anwendung zu programmieren bzw. komplexe API-Aufrufe in die eigenen Scripte einzubinden. An dieser Stelle springt nun Yahoo! Pipes in die Bresche und bietet einen Weg, recht schnell und einfach eigene kleine Mashups zu konstruieren. Dies geschieht komplett im Browser und erfordert nahezu keinerlei Programmierfähigkeiten (ein wenig logische Auffassungsgabe und das Wissen, dass nix verarbeitet werden kann was nicht vorhanden ist sollte allerdings schon verfügbar sein).

Um eine eigene Pipe zu erstellen, zieht man sich verschiedene verfügbare Komponenten in die Entwicklungsumgebung, konfiguriert deren Parameter und verknüpft sie miteinander. Das wars im Großen und Ganzen auch schon. Eine fertige Pipe könnte zum Beispiel so aussehen:

Was macht diese Pipe nun genau? In der obersten Komponente (Fetch) wird der Feed meines Blogs geladen. Die nächste Komponente (Content Analysis) analysiert die Inhalte des Feeds und extrahiert Keywords zur weiteren Verwendung. Diese werden nun in der 3. Komponente (For Each: Replace) genutzt, um bei Google Base nach News und Artikeln zu diesen Keywords zu suchen und diese statt der Keywords zur nächsten Komponente zu schicken. Und diese tut nichts anderes, als die Ergebnisse an den Browser zu senden. Das wars auch schon. Und was am Ende dabei heraus kommt, könnt Ihr Euch natürlich auch live anschauen.

Wie man merkt, ist das eine relativ simple Anwendung, die ich innerhalb weniger Minuten zusammengeklickt habe. Mit etwas Fantasie und mehr Zeit lassen sich so durchaus auch weitaus nützlichere Dinge erstellen als in meinem Beispiel gezeigt. Wenn Ihr damit herumspielen solltet und vielleicht eine in Euren Augen nützliche Pipe gebastelt habt, dann postet sie mir doch einfach mal in die Kommentare. Vielleicht sind sie ja auch für andere brauchbar.

Heise berichtet von einem Blogeintrag bei pagetable.com, in dem Myria ein eigentümliches Verhalten von Skype beschreibt. Laut Myria legt Skype eine .com-Datei an, die das BIOS des Rechners ausliest, unter anderem wird auch die Seriennummer des Mainboards so ermittelt. Aufgefallen war dies nur, weil Skype auf ihrem 64Bit-System Fehlermeldungen erzeugte, die auf diese Datei hinwiesen.

Ich habe bei mir dieses Verhalten auf die Schnelle nicht nachvollziehen können, zumindest wird hier scheinbar keine derartige Datei angelegt, möglicherweise wird diese aber auch nach einmaligem erfolgreichen ausführen wieder beseitigt, keine Ahnung. Es bleibt allerdings die Frage offen, wofür Skype diese Informationen benötigt. Eine mögliche Variante wäre beispielsweise eine damit mögliche eindeutige Identifizierung, zu welchen Zwecken auch immer. Genau so gut ist denkbar, dass mit diesen Informationen ein eineindeutiger Key für eine Verschlüsselung des Protokolls erzeugt wird. Unterstellen kann man Skype nun alles mögliche, der Fantasie sind hier keine Grenzen gesetzt und in der Vergangenheit zeigte sich oft genug, dass derartige Daten nicht zwingend im Sinne des Anwenders genutzt werden.

Im Augenblick weiß allerdings niemand, was mit diesen Informationen tatsächlich geschieht. Und Skype wird sich in den nächsten Tagen sicherlich winden, um dafür eine Erklärung zu liefern, die für viele wahrscheinlich sehr unglaubwürdig sein wird. Denn wer heimlich derartige Informationen sammelt und diese Tatsache dann auch noch durch technische Maßnahmen zu verschleiern versucht, dem wird man nachträglich nicht mehr so leicht Ehrlichkeit abnehmen.