Wördpress des tages

Achtung, hier kommt ein ganzer korb voller frischer schlampigkeiten in wördpress-plugins.

Benutzt hier jemand wördpress und hat da ein paar plugins drinnen? Zum beispiel analytics stats counter, admin custom login (gleich mit zwei sicherheitslöchern), trust form, WP-filebase download manager, WP-spamfree, file manager, global content blocks, gwolle guestbook, newstatpress, wordpress download manager, magic fields 1, google analytics dashboard, alpine photo tile for instagram, wordpress adminer, user login log, contact form manager oder contact form?

Alle mit ausbeutbaren, teilweise fürchterlichen XSS-lücken. Also los, aktualisiert mal! Am besten, ihr aktualisiert schnell. Und wenn das nicht geht, schaltet wenigstens die verdammten plugins ab, die hier erwähnt wurden! Oder wollt ihr ein gekräcktes blog haben, das irgendwelchen idjoten zur verteilung von schadsoftwäjhr dient, für die ihr dann juristisch verantwortlich gemacht werdet?

Wördpress-security-großalarm des tages

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Warum? Etwa, weil da das zauberwort SEO drinsteht und ihr glaubt, dass es so hokus pokus mühelos mehr seitenbesucher gibt, die ihr mit reklamezumutungen in geld verwandeln könnt?

Ach, das ist ja gar nicht mein tema. 😉

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Das sollen ja doch so ein paar milljönchen nutzer sein…

Und schon die neue versjon installiert?

Wenn nicht, dann ist es jedem honk aus dem internet möglich, an euer blog eine HTTP-anfrage zu senden, die dazu führt, dass irgendwann später bei euch im blog irgendwelches völlig beliebiges javascript von diesem honk ausgeführt wird. Damit kann man dann… nur so ein beispiel… euer zugangstoken abschnorcheln, rausfunken und die gesamte webseit nach herzenslust pwnen. Und ihr dürft dann eine datensicherung zurückspielen (falls ihr überhaupt eine datensicherung habt) und eventuell wochen- bis monatelang mit der wenig vorteilhaften reputazjon leben, schadsoftwäjhr zu verteilen, spämm zu senden oder phishing-seiten zu hosten. Und dann hilft auch alles SEO nicht mehr, wenn ihr auf jeder blacklist steht…

Also, macht schnell einen updäjht von dem ding, denn die kriminellen schlafen nicht und der angriff darauf ist kinderleicht!

Und vielleicht solltet ihr bei dieser gelegenheit mal drüber nachdenken, ob ihr die ganzen plugins für euer wördpress wirklich braucht… denn jede erhöhung der komplexität einer installazjon ist das gegenteil von sicherheit.

Security des tages

Der webmäjhler von „yahoo“ hatte eine NSA-hintertü… ähm… eine klitzekleine XSS-lücke, so dass man jemanden eine mäjhl mit eingebettetem javascript schicken konnte, das dann ausgeführt wurde. Damit kann man natürlich das „yahoo“-konto pwnen, aber man könnte auch unter ausnutzung weiterer sicherheitslücken ein „hübsches“ schadsoftwäjhrpaket installieren.

Seht ihr, leute: wenn ihr eine richtige softwäjhr zum mäjhlen nehmt, statt das im (immer unsicheren und gefährlichen) webbrauser zu machen, dann kann so etwas nicht passieren. Ich empfehle den „thunderbird„. Die konfigurazjon des „thunderbird“ für eine bestehende „yahoo“-adresse ist einfach und auch von einem menschen mit geringer auffassungsgabe in einer einzigen minute zu bewältigen.

Und ja, das gleiche gilt natürlich auch für jede andere „anwendung im brauser“. Aber mäjhl ist nun einmal besonders gefährlich, weil es leicht ist, massenhaft mäjhl zu versenden — und wenn die dann beim anschauen etwas übles tut, hilft nicht mehr viel. Bei den meisten webmäjhlern (und bei anderen „anwendungen im brauser“) kann man ja nicht einfach javascript abschalten.

Ach ja: fällt euch übrigens auf, dass scheißjornalisten niemals auf die sicherheitsprobleme mit javascript hinweisen? Wenn vergleichbare probleme mit „fläsch“ aufgetreten wären, wäre klar, was geschrieben würde. Jornalismus ist nicht aufklärung und informazjon, jornalismus ist verdummung, hirnfick, desinformazjon und manipulazjon, finanziert von reklameunternehmen.

Security des tages

Benutzt hier jemand „lastpass“, um seine passwörter in der „cloud“ von „lastpass“ zu verwalten?

Übrigens faszinierend, wie die jornalistischen produkte am reklametropf es vermeiden, in solchen fällen das sonst für solche externen speicherungen omnipräsente wort „cloud“ irgendwo im text zu erwähnen… :mrgreen:

Security des tages

Bei „ebay“ gibt es eine fiese XSS-lücke, die es ermöglicht, mit der webseit von „ebay“ selbst nach passwörtern zu phishen. In der domäjhn von „ebay“. Mit schlösschen im brauser. Wo man sich sogar die einzelheiten angucken kann, weil es das zertifikat vom „ebay“ ist.

Aber ihr klickt ja hoffentlich nicht in mäjhls herum, wenn die scheinbar von banken, internetz-diensten oder virtuellen garagenflohmärkten wie „ebay“ kommen, oder?! Ihr verwendet doch hoffentlich immer die lesezeichen eures webbrausers, oder?! Denn das phishing läuft ja meist über mäjhl, um einen link zuzustecken…

Unerschütterliches misstrauen gegenüber mäjhl ist wichtiger als jedes schlangenöl! Die frage, warum „ebay“ — immerhin eine klitsche, die ihr geschäft über dieses internetzdingens macht — nicht damit beginnt, seine mäjhl digital zu signieren und seine nutzer darüber aufzuklären, was es damit auf sich hat und wie man damit im alltag umgeht, bitte an „ebay“ stellen! Ach, „ebay“ haftet gar nicht für die betrugsgeschäfte, die dann in fremder identität über „ebay“ laufen, sondern verdient auch noch dran? Na, dann ist ja alles klar!

Security und „ebay“ des tages

Es scheint möglich zu sein¹, in eine „ebay“-nachricht an einen anderen nutzer von „ebay“ eine datei einzubetten, in deren dateiname javascript eingebettet ist — über diesen XSS-angriff kann das „ebay“-konto beim betrachten der nachricht gepwnt werden. Das problem war bei „ebay“ seit mehr als einem jahr bekannt, dagegen gemacht wurde nichts. Da bekommt der alte reklamespruch „drei-zwei-eins-meins“ gleich eine ganz neue bedeutung.

Ich wünsche euch auch weiterhin viel spaß beim vertrauen auf die dicken, bunten sicherheitsversprechen großer web-geschäftemacher!

Habe ich eigentlich schon einmal erwähnt, dass ich javascript für eine pest halte?!

¹Ich habe es nicht ausprobiert, meldung via full disclosure.

Wördpress des tages

Nachtrag: der fix ist draußen, also los! Er hat bei mir kein einziges problem gemacht, außer die probleme, die WP 4.2 sowieso schon macht. (Aber der emoji-müll ist wenigstens kein sicherheitsproblem.)

In der aktuellen versjon 4.2 (und auch in den vorherigen versjonen) von wördpress ist eine interessante XSS-lücke: es ist möglich, durch verfassen eines überlangen kommentares javascript im blog abzusetzen, das ausgeführt wird, wenn dieser kommentar angeschaut wird. Ja, es reicht dafür völlig, einen kommentar zu schreiben. Und ja, damit kann das blog pwnen, wenn der kommentar von jemanden angeschaut wird, der gerade an wördpress angemeldet ist.

Die lücke ist übel, weil sie relativ leicht auszunutzen ist. Demnächst heißt es also wieder: fix installieren!

(Mann, wie mich die ganze javascript-kacke immer ankotzt!)

Effektiv, zuverlässig, einfach zu nutzen

Wie gut, dass es so tolle sicherheitssoftwäre wie das wördpress-addon „WordPress BulletProof Security“ gibt. Einfach installieren, einmal klick klick durchkonfigurieren und gut, so das versprechen. Und da draußen laufen massenhaft leute rum, die an solche versprechungen glauben. Die werden sich demnächst vielleicht über den möglichen XSS-angriff, die SQL-injection und die möglichkeit, den websörver für abfragen externer datenbanken zu „benutzen“ freuen.

Aber jetzt die gute nachricht für nutzer: die fehler sind in der aktuellen versjon gefixt. Und das aktualisieren geht ja klick klick, also los! Eine gewisse skepsis gegen das versprechen einfach zu erzielender sörversicherheit zu entwickeln, wäre aber auch angebracht.

Javascript des tages

Die besucher einer iehbäh-aukzjon über eine von der iehbäh-webseit angebotene XSS-möglichkeit¹ auf eine iehbäh-phishingseit lotsen, um ihnen dort die zugangsdaten abzunehmen. Es gäbe ja einen guten schutz gegen diese form des angriffs: einfach kein javascript zulassen. Allerdings lässt sich iehbäh ohne javascript gar nicht mehr benutzen… und es gibt keinen einzigen technischen oder sachlichen grund, warum auf einer derartigen webseit überhaupt javascript erforderlich sein sollte. Einmal ganz davon abgesehen, dass diese drexseit von iehbäh ihren kohd von gefühlt hunderten von domäjhns holt, so dass es selbst mit noscript eine kwal ist, etwas anderes zu machen, als einfach nur zu erlauben.

Warum iehbäh dann nicht für die schäden haftbar gemacht wird, die durch den technisch und sachlich unnötigen zwang zu javascript entstehen? Tja, für solche läden gilt halt kein recht mehr.

Aber krasse idee von den iehbäh-machern, einfach die drei aukzjonen mit dem phishing zu löschen! :mrgreen:

¹Nee, XSS ist kein häck, sondern sollte immer als freiwilliges oder unfreiwilliges angebot des seitbetreibers betrachtet werden: betten sie ihren kohd hier ein!

Javascript-häckchen des tages

Ich wünsche euch auch weiterhin viel spaß mit dieser idjotischen idee von „anwendungen im brauser“, vor allem, wenns dabei um sicherheit, kryptografie und vertrauliche kommunikazjon gehen soll… [via Fefe]

Auch weiterhin viel vergnügen beim „genuss“ der von jornalisten abgeschriebenen reklametexte für irgendwelche tollen und „benutzerfreundlichen“ lösungen für probleme, die schon seit anderthalb jahrzehnten gelöst sind, gern mit ein paar nazjonalistischen untertönen wie „made in germany“ oder „made in switzerland“ dabei, damit die hirnlosigkeit beim lesen noch erhöht wird. Probleme wie sichere mäjhlverschlüsselung zum beispiel…

Häcken mit herz

Durch einen Bug hat der Twitter-Client in Tweets eingebettete JavaScript-Code ausgeführt, wenn daran ein Unicode-Herz angehängt wurde

Bwahahaha! Love it! ❤ ❥ ❤ ❣

Was heise im moment nicht im text hat: das fehlerchen wurde für einen twitter-wurm ausgebeutet. Wer den stummeltext sah, hat ihn auch schon automatisch weitergesagt. Deshalb hat das zwitscherchen auch ganz schnell das fiepseprogramm im brauser (tweetdeck) offlein genommen…

Mit HTML (ohne javascript) wäre das natürlich nicht passiert…

„eBay“ des tages

Nicht nur, dass „eBay“ gerade erst 145 milljonen nutzerdaten veröffentlicht hat, die webseit des beliebten garagenflohmarktes im web hat auch eine ausbeutbare XSS-schwachstelle. Ist aber nicht weiter schlimm, eBay weiß schon seit monaten davon und unternimmt nichts, weil… ähm… der schaden ja eh nur ein paar nutzer betreffen kann und diese grobe fahrlässigkeit keinerlei juristische konsekwenzen hat. Auch weiterhin viel spaß damit, jeder webseit ohne technische und sachliche notwendigkeit das ausführen von javascript zu gestatten, so dass sich ziemlich unkontrolliert fremder kohd im brauser „austoben“ kann!

Router des tages

Alle asus RT-AC68U (nein, das sind keine pfennig-billigkisten) sind anfällig für einen XSS-angriff in der web-benutzerschnittstelle. Ein übergebener parameter wird ungefilter auf die seiten übernommen und ermöglicht so das einschleusen beliebigen kohds. Und als ob das nicht schlimm genug wäre, kann man den dingern auch beliebigen kohd zum ausführen unterjubeln; ein fehler, den asus jetzt schon fast einen monat lang kennt und nicht behandelt.