Lücke in WordPress 2.8.2 erklärt

WordPress scheint sich sicherheitstechnisch immer mehr in Richtung Joomla zu bewegen. Aktuell gibt es eine Lücke, die Nutzern mit dem Status eines Abonnenten volle Admin-Rechte einräumt.

Bei WordPress scheint man ja „Security by Obscurity“ zum Motto gemacht zu haben. Spätestens seit folgender Code zur vermeintlichen Fehlerbehebung im Forum aufgetaucht ist, hätte ich aber eine Reaktion seitens WordPress Deutschland erwartet:

if ( strstr($_SERVER['REQUEST_URI'], '//') )
{
wp_redirect(( empty ( $_SERVER['HTTPS'] ) ? 'http' : 'https' )
. '://'. $_SERVER['HTTP_HOST']
. str_replace('//', '/', $_SERVER['REQUEST_URI']), 301 );
die();
}

Link zum Google-Cache

WordPress, ich könnte kotzen… ^^

Festplatten dauerhaft löschen

Wer seine Daten nicht auf ebay mitveräußern möchte oder gerade keine Bohrmaschine zur Hand hat, freut sich bestimmt über das Linux-Tool shred.
shred überschreibt vorgegebene Dateien mit zufälligem Inhalt. Da unter Linux alles eine Datei ist, kann man damit auch Festplatten mehrfach überschreiben.
Die Anweisung dazu wird nach folgendem Muster formuliert:
shred -n 5 -vz /dev/hda

Hierbei würde die erste IDE-Platte mit 5 Durchläufen überschrieben. Wird -n nicht definiert, erfolgen 25 Durchläufe. Die Option v sorgt für ein Feedback und z veranlasst, dass die Festplatte beim letzten Durchlauf mit Nullen überschreiben wird.
Für den Hausgebrauch ist das durchaus ausreichend. Beachtet werden muss bei Verwendung von shred lediglich, ob und welches Journaling im Dateisystem verwendet wird.

Micro-Blog Twitter gehackt

Wie auf Heise zu lesen war, wurden einige Twitter-Accounts prominenter Persönlichkeiten „gehackt“. Insgesamt handelt es sich um 33 Accounts, unter anderem von Barack Obama, Britney Spears oder CNN-Sprecher Rick Sanchez.

Zugang verschafften sich die Unbekannten offenbar mit Hilfe der Tools des Twitter-Teams, die sonst zum zurücksetzen von Konten genutzt werden. Diese Tools sind nun erstmal offline und zu mehr Einzelheiten äußert sich Twitter nicht.

Zusammen mit den Phishing-Attacken vom Wochenende steht Twitter zur Zeit in einem ganz schlechten Licht. Muss man sich dort nun neben den gehackten Accounts auch noch um eine sichere Möglichkeit der Authentifizierung von Drittanbietern beim Zugrif auf die Twitter-API kümmern (z.B. in Form eines API-Keys wie OAuth).