1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Offene…

Disqus

  1. Thema

Neues Thema Ansicht wechseln


  1. Disqus

    Autor: mcnesium 27.04.15 - 19:32

    Wer hier statt Wordpress statisches HTML plus Disqus propagiert, kann auch gleich wordpress.com oder medium oder blogger.com oder was weiß ich sagen.

    Sinn des Betriebs einer eigenen Wordpress-Instanz ist neben dem Respekt vor der Privatsphäre der Kommentatoren vor allem die eigene Unabhängigkeit von Fremdanbietern. Mit Disqus hast du beides nicht. Da kannst du auch gleich auf Facebook posten.

  2. Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: Hotohori 27.04.15 - 16:02

    Auf der einen Seite könnte man nun sagen "Man sollte eben nicht die erfolgreichste/bekannteste Software nutzen" denn dort suchen kriminelle Gestalten ja vor allem nach Schwachstellen, weil sie es sich hier am meisten lohnt.

    Auf der anderen Seite konnte man aber nun auch sagen, dass eben dadurch auch mehr nach Schwachstellen aufgedeckt werden als bei unbekannterer Software.

    Und nun?

    Ich hab selbst einen kleinen Wordpress Blog, bzw. ein inzwischen inaktiver und spielte mit dem Gedanken einen neuen aufzusetzen zu einem anderen Thema (VR). Aber diese ständigen Sicherheitslücken und Einbrüche um Daten zu klauen haben mich inzwischen doch etwas verunsichert. Ich will eigentlich einen Blog betreiben und nicht mich ständig um dessen Software und Sicherheit kümmern müssen.

    Das hat inzwischen einfach Ausmaße angenommen, ist echt nicht mehr schön, vor 10 Jahren war das alles noch nicht so kritisch... Ich frage mich echt wohin sich das Internet noch weiter entwickeln wird, besser wird es ja scheinbar nicht mehr...

  3. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: Xiut 27.04.15 - 16:09

    Ich kenne nicht deine genauen Anforderungen an Funktionen, die du für deine Webseite haben möchte, aber man kann Wordpress auch so einsetzen, dass man es nur lokal installiert und verwaltet. Dann wird der HTML-Code für die Seite entsprechend generiert und einfach als statische HTML Seiten auf den Server geschoben.
    Ich meine damit nicht die "Funktion" von statischen Seiten unter Wordpress, sondern wirklich die ganze Seite als statischen HTML-Code. Dafür ist aber glaube ich auch ein Plugin notwendig, welches diesen erzeugt.

    Mit so Kommentarfunktionen wie von disqus.com, die ja auch so immer öfters eingesetzt werden, könnte man trotzdem noch Kommentare auf der Webseite erlauben.

    Habe ich selbst noch nicht wirklich umgesetzt, hab mich aber damit schon mal eine Weile beschäftigt, weil es einfach Seiten gibt, wo das ganze dynamische im Hintergrund nicht wirklich notwendig ist. Da würde das die Pflege und Sicherheit schon deutlich verbessern, auch wenn man sicher hier und da einen Kompromiss eingehen muss oder sich eben anders behelfen muss (wie eben bei den Kommentaren).

  4. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: Yash 27.04.15 - 16:23

    Hotohori schrieb:
    --------------------------------------------------------------------------------
    > klauen haben mich inzwischen doch etwas verunsichert. Ich will eigentlich
    > einen Blog betreiben und nicht mich ständig um dessen Software und
    > Sicherheit kümmern müssen.
    Sollte man aber, wenn man eine Software der Öffentlichkeit zugänglich macht. Auch schon vor 10 Jahren :)
    WP ist was Updates angeht übrigens ziemlich anspruchslos. Teilweise werden Updates automatisch ausgeführt und man erhält nur eine E-Mail mit dem Hinweis. Plugins und Themes kann man mit wenigen Klicks und ohne Hintergrundwissen updaten (wobei man bei Themes aufpassen muss, damit man sich damit das Frontend nicht zerschießt). Man muss dafür nur hin und wieder auf das Dashboard von Wordpress schauen ob es aktuell Updates gibt (und es gibt sicher Plugins, die einen automatisch informieren :D).

    Zum Thema: Ich nutze lieber eine große und bekannte Software, die viel Support bietet, als eine unbekannte, die kaum einer kennt und bei der es viel weniger Support gibt.

  5. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: carnival 27.04.15 - 16:36

    Hotohori schrieb:
    --------------------------------------------------------------------------------
    >
    > Und nun?

    IMHO ist das schon sehr dünn vom Hersteller, wenn XSS so einfach funktioniert.
    XSS kann man automatisch erkennen (Nessus/OpenVAS kann man mal drüberlaufen lassen...) und auch der Schutz davor ist keine Raketenwissenschaft (richtig maskieren oder unerwünschte Zeichen blacklisten).

  6. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: hab (Golem.de) 27.04.15 - 16:42

    Ehrlich gesagt ich glaube trotz allem dass man mit Wordpress noch relativ gut dran ist. Ich bin auch ein bisschen erschrocken über diesen Vorfall, hoffe aber eigentlich, dass die Entwickler dafür so viel Kritik einstecken müssen dass sie sich sowas nicht nochmal erlauben.

    Grundsätzlich ist Wordpress selber meistens "relativ" sicher. Was ich sehr gut finde ist dass es Auto-Updates hat. Meiner Erfahrung nach ist das das größte Problem: Nutzer bekommen von irgendwem eine Webanwendung XY installiert und niemand sagt ihnen dass sich später jemand um Sicherheitsupdates kümmern muss.

    Das größte Einfallstor für Lücken bei Wordpress sind Plugins und Themes. Ein Wordpress ohne Plugins ist schon eine relativ sichere Basis.

    (Ich selber nutze übrigens Serendipity. Das ist in Sachen Security ziemlich solide, aber es gibt keine Auto-Updates, daher nur für Leute geeignet die sich darum selber kümmern.)

  7. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: Schnarchnase 27.04.15 - 16:43

    Hotohori schrieb:
    --------------------------------------------------------------------------------
    > Auf der anderen Seite konnte man aber nun auch sagen, dass eben dadurch
    > auch mehr nach Schwachstellen aufgedeckt werden als bei unbekannterer
    > Software.

    Genau das ist ja hier passiert, die Lücke wurde gefunden und sogar gemeldet, dann aber scheinbar unverständlicher Weise von den Entwicklern ignoriert. Das sollte einem schon zu denken geben. Ich würde solche Software meiden – nicht wegen des Fehler, sondern wegen der Reaktion der Entwickler.

  8. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: zZz 27.04.15 - 17:30

    Ich nutze WordPress schon länger als es das gibt, nämlich schon seit b2-Zeiten. Von Anfang an hat mir die Einfachheit und gleichzeitig die Flexibilität gefallen – gemessen daran, dass es ja „nur“ eine Blog-Software ist. Ich nutze auch heute noch, wann immer es geht, WordPress. Klar gibt es viele neue Blog- oder CMS-Software, die moderner ist und mich persönlich anspricht (z.B. Ghost, Jekyll). Ich arbeite sehr oft mit PHP, obwohl ich die Sprache nicht sonderlich mag, aber PHP läuft einfach und ist easy.

    Was mich an WordPress stört ist die konservative Politik, es wäre mMn. nötig viele Funktionen auf mehr Sicherheit zu trimmen. Escaping sollte transparent und immer passieren, derzeit ist es ein Mischmasch aus Funktionen die escapen und solche die es nicht tun. Die Library-Politik ist ebenfalls äusserst konservativ gehalten, das liesse sich doch mit einer Einstellung prima entscheiden: der eine will möglichst kompatible Libraries verwenden, der andere aber nur latest. Um mehr Datenbanken zu unterstützen (PostgreSQL, Maria, Mongo, flat-file) benötigt WordPress dringend eine Zwischenschicht um diese ansprechen zu können. Es gibt zwar Plugins, die versuchen, es zu Verschleiern, dass es sich bei dem Blog um WordPress im Backend handelt, aber diese Optionen könnte WordPress ebenfalls benötigen: z.B. um /wp-admin und alle wp-*.php Files bequem anders benennen zu können.

  9. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: lala1 27.04.15 - 17:57

    Man sollte sich mal jekyll anschauen. Damit kann man mit statischen Seiten bloggen.
    Als Kommentarfunktion kann man Disqus oder wie der Dienst heißt nehmen.

  10. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: violator 27.04.15 - 18:04

    Hotohori schrieb:
    --------------------------------------------------------------------------------
    > Aber diese ständigen Sicherheitslücken und Einbrüche um Daten zu
    > klauen haben mich inzwischen doch etwas verunsichert. Ich will eigentlich
    > einen Blog betreiben und nicht mich ständig um dessen Software und
    > Sicherheit kümmern müssen.

    Tja, dann dürftest du eigentlich gar keinen Blog betreiben, denn jede Software hat Fehler und es gibt ständig Sicherheitslücken.

  11. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: violator 27.04.15 - 18:06

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Ein Wordpress ohne Plugins ist schon eine relativ sichere Basis.

    Und fast kaum zu gebrauchen, ausserdem klammert man mal eben den eigentlichen Vorteil aus, nämlich den der vielen Plugins und großen Community.

  12. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: juergenhecht 27.04.15 - 19:25

    zZz schrieb:
    --------------------------------------------------------------------------------
    > Klar gibt es viele neue Blog- oder CMS-Software, die moderner
    > ist und mich persönlich anspricht (z.B. Ghost, Jekyll).

    Dann erwähne ich mal noch folgendes neues Blog-System:
    https://github.com/kabukky/journey

    Ist in Go geschrieben und unterstützt die Themes von Ghost. Weitere Eigenschaften: Minimalistisch, super schnell und leicht zu "installieren".

    Falls man die Seite mit https ausliefern möchte (was man sollte), rate ich aber dazu Nginx davor zu setzen.

  13. Re: Und was für eine Lehre sollte man daraus mitnehmen?

    Autor: zZz 27.04.15 - 20:13

    Für die Software Dokumentation hosten wir statische Seiten auf GitHub. Die Original-Doku ist in Markdown geschrieben und wir rendern das mit MkDocs. So können auch einfach Commits direkt an der Doku gemacht werden, das ist für mich Open Source!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SCHUFA Holding AG, Wiesbaden
  2. über duerenhoff GmbH, Lübeck
  3. TransnetBW GmbH, Karlsruhe (Daxlanden)
  4. Universität Hamburg, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 31,89€ (Vergleichspreis 49€)
  2. 1.349€ (Vergleichspreis 1.498€)
  3. (u. a. Avengers Endgame für 12,99€ (Blu-ray), Captain Marvel für 13,74€ (Blu-ray), Black...
  4. 431,10€ (mit Rabattcode "POWERTECH20"- Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de