Vor ein paar Jahren

Publiziert am 8. Januar 2014 von Elias

Journalist!

Vor ein paar Jahren habe ich mal einem Leser, der in einem Kommentar auf dem – übrigens ausgerechnet wegen des »Leistungsschutzrechtes für Pressevertreter«, also einem Gesetz, das zum Schaden aller und zu deinen Gunsten durch den Bimbestag gelobbyt – inzwischen eingestellten Blahblog das Bloggen als einen »neuen Journalismus« bezeichnete, sinngemäß geantwortet: »Aber ich dachte, Twitter sei der neue Journalismus«…

Werter Journalist und alle sonstige Arschlöcher da draußen, ich hatte das als Scherz gemeint. Versteht ihr?! Als lustige Idee, die mir in diesem Kontext aufkam und mit der ich so einen Bullshit durch Steigerung der Absurdität bloßstellen konnte. Nicht als Anregung für deine Tätig- und Tätlichkeiten.

Inzwischen macht es dir, werter Journalist, ja gar nichts mehr aus, in zwei Absätzen mit 185 Wörtern und 1285 Zeichen Text irgendwelche Schnippsel aus dem Zwitscherdingens zu zitieren, nur, damit du die Text-Füllmasse für das Redaktionssystem deines industriellen Textvermarkters produzierst. Dass du damit 46 Prozent der gesamten Artikellänge mit belanglos-frivolem Gezwitscher füllst, stört dich dabei auch nicht weiter, weil die restlichen 54 Prozent ebenso belangloses jornalistisches Gesülze sind, dessen lebenspraktische, politische und gesellschaftliche Relevanz noch weit unterhalb der Gespräche verpickelter Teenager in gewissen Webforen liegt.

Hauptsache, da steht irgendein Text in deiner journalistischen Website.

Denn wegen des eigentlichen Geschäftes, das du vorantreibst, der eingeblendeten Reklame – die in diesem Fall bei der »taz« mal relativ erträglich ist – kommt ja keiner. Deshalb muss da Text rein. Genau, wie der Wurm am Angelhaken dem Fisch schmecken muss, nicht dem Angler.

Journalist, ich als gelegentlicher »Genießer« deiner seelenlosen und geistamputierten Zwischenablagen-Abschreiberei aus dem Zwitscherchen stelle hierzu Folgendes fest:

  1. Ich habe selbst immer wieder einmal Zugang zum Internet, gehöre also zu dieser 70-Prozent-Minderheit der Bevölkerung der BRD, die das Internet nutzt. Ich habe sogar Zugriff auf solche Trash-Dienste wie das Zwitscherchen. Ich brauche es also nicht, dass du da für mich eine Suche nach tagesaktuellen Schlagwörtern drin machst und mir dann das weitersagst, was du gut daran findest und mir das verschweigst, was du nicht so gut daran findest. Wie man die Suche beim Zwitscherchen bedient, habe ich tatsächlich völlig ohne deine Hilfestellung selbst herausgefunden. Es war auch nicht schwierig herauszufinden.
  2. »Dr. Daini« heißt in Wirklichkeit Dr. Dauni. Und die Zwischenablage, die solche Fehler verhindern könnte, bedient man mit Strg-C und Strg-V. :mrgreen:

Mit Gruß.

Elias Schwerdtfeger

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , , , | Ein Kommentar

Kommentier doch! Ällabätsch!

Publiziert am 22. Dezember 2013 von Elias

Neueste Kommentare -- Please enable JavaScript to view the comments powered by Disqus. Blog-Kommentare powered by Disqus

Jedes mittelgroße CMS und jede durchschnittliche Blogsoftware hat ein integriertes Subsystem, um Lesern das Hinterlassen von Kommentaren zu ermöglichen, und um dem Betreiber der Site eine in die Software integrierte Schnittstelle für die administrativen Tätigkeiten rund um die Kommentare zu geben.

Das hat viele Vorteile.

Zum Beispiel den Vorteil, dass es in die Software integriert ist und somit sowohl aus Leser-, als auch aus Betreibersicht eine einheitliche Schnittstelle zur Verfügung stellt. Dieses integrierte Subsystem ist ausgereift, fehlerfrei, im Regelfall durch Plugins erweiterbar und es gibt auch zuverlässige, vielfach erprobte Erweiterungen zum Spamschutz.

Auch hat es den Vorteil, dass die Daten der Kommentatoren (sowohl freiwillige Angaben, als auch ein technisches Datum wie die IP-Adresse, die für die Kommentierung verwendet wurde) in der Hand des Sitebetreibers bleiben, so dass er zuverlässige Aussagen über die Verwendung der Daten und den Datenschutz machen kann. Er kann sogar Vorkehrungen treffen, dass potenziell identifizierende Daten wie die IP-Adresse nicht »für die Ewigkeit« gespeichert, sondern nach einer bestimmten Frist gelöscht werden. Und sollte einmal eine Aufforderung zur Auskunft nach Bundesdatenschutzgesetz kommen, welche Daten überhaupt gespeichert werden, so kann diese wahrheitsgemäß beantwortet werden und eventuelle Wünsche einer Datenlöschung können einfach gewährt werden. Diese »Wünsche« sind in der Bundesrepublik Deutschland übrigens ein Recht.

Natürlich – und das ist ebenfalls ein Vorteil, und das nicht erst, seit bekannt geworden ist, dass sich die Geheimdienste klandestin in zentralen Datensammlungen »bedienen« – bleiben die als Kommentar eingegebenen Daten auch im Datenbestand der Site, die kommentiert wurde. Sie fließen nicht bei einem zentralen Kommentardienstanbieter zusammen, der möglicherweise eine Unternehmung ohne seriöses Geschäftsmodell ist, die mit site-übergreifendem Tracking und data mining tief in die Privatsphäre anderer Menschen eindringt. Die angeklickte Checkbox vor dem Satz »Ich habe die Nutzungsbedingungen gelesen und bin damit einverstanden« zusammen mit einem kalten, nutzerverachtenden Link auf zehn bis dreißig Druckseiten literarisch ungenießbaren Augenpulvers ist die häufigste und zudem eine beinahe immer halb erzwungene Lüge des Internetzeitalters.

Ich weiß übrigens nicht, wie das Geschäftsmodell von »Disqus« aussieht und kann darüber nur mutmaßen. Ich habe eben die Homepage dieser Klitsche besucht, und diese Homepage hatte mir nichts zu sagen. Es war eine weiße Seite. Nicht einmal ein Impressum war verfügbar, geschweige dann eine Erklärung zum Datenschutz oder vergleichbare Informationen. Und nein: Ich erlaube nicht jeder dahergelaufenen Website, dass sie Code in meinem Browser ausführt. Deshalb konnte ich das Video¹ auf der Startseite, das mutmaßlich auf dumme Reklame an Stelle von wichtiger Information setzte, nicht »genießen«. Die Abkürzung HTML steht übrigens für »Hypertext Markup Language«. Dieses HTML hat also etwas mit »Text« zu tun. Es ist deshalb auch nicht weiter schwierig, textuelle Informationen in einem HTML-Dokument unterzubringen, sondern genau das ist die Grundfunktion seit 1993. Wer als gewerblicher Betreiber einer Website auf die Nutzung dieser Grundfunktion aus völlig rätselhaften Gründen verzichtet, ist in meinen Augen entweder dumm oder bösartig – weitere Erklärungsmöglichkeiten wollen mir beim besten Willen nicht einfallen. Nach diesem kurzen, aber nachhaltigen ersten Eindruck habe ich mir weitere Recherchen zu einem meiner Meinung nach entweder dummen oder bösartigen Unternehmen erspart.

Das ist übrigens ein weiterer Vorteil der Kommentarfunktion, die in jedem mittelgroßen CMS oder Blogsystem integriert ist: Es handelt sich dabei um ein einfaches HTML-Formular, dessen Nutzung auch dann möglich ist, wenn man einer Website nicht das Ausführen von Code im Browser gestattet. In einigen <INPUT>s werden Metadaten wie angezeigter Name, Mailadresse und eventuelle weitere Angaben eingegeben, in einer einfachen <TEXTAREA> ist Raum, einen Kommentar zu formulieren. Dazu ein Submit-Button, der die Eingaben an den Webserver überträgt. Sicher, das ist »unmodern« und schmeckt nach Neunziger Jahre, aber es ist sehr robust und HTML-Grundfunktionalität, die mit wirklich jedem Browser auf jedem Gerät läuft. Selbst körperlich schwer behinderte Menschen, deren Weg ins Internet über Lynx und spezielle Schnittstellen führt, können eine solche Kommentarfunktion nutzen. Aber auch jeder Mensch, der verstanden hat, dass die meisten ausgebeuteten Sicherheitslücken in Webbrowsern über Schwächen der JavaScript-Implementation funktionieren und der deshalb JavaScript nur in sehr wenigen Websites erlaubt, erhält die Möglichkeit, barrierefrei zu kommentieren, ohne eine weitere Ausnahme konfigurieren zu müssen.

Welche »Vorteile« es hingegen hat, eine integrierte Funktion einfach nicht zu nutzen, und an ihrer Stelle eine Nachbildung der integrierten Funktion durch den JavaScript-Code eines externen Anbieters zu verwenden, will mir nicht so einfach einleuchten. Vielleicht gibt es da draußen ja Menschen, die ein Blog führen und allen Ernstes glauben, dass es ein Vorteil ist, …

  • …wenn nur Menschen kommentieren können, die gleichgültig mit ihrer Privatsphäre umgehen und die nichts gegen data mining mitten in ihrem Leben haben,
  • …wenn nur Menschen kommentieren können, die sich nicht daran stören, dass sie auf einer Website kommentieren, deren Betreiber das Bedürfnis seiner Leser nach Datenschutz völlig gleichgültig ist,
  • …wenn nur Menschen kommentieren können, denen die Sicherheit ihres Computers so gleichgültig ist, dass sie jeder Website das Ausführen von Code im Browser gestatten,
  • …wenn nur Menschen kommentieren können, die nicht schwer körperbehindert sind,
  • …wenn nur Menschen kommentieren können, denen es vollkommen gleichgültig ist, dass sie dabei die Dienste eines gewerblichen Anbieters in Anspruch nehmen müssen, dessen Website so dubios ist, dass nicht einmal ein Impressum über die Startseite des Webauftritts dieses Anbieters zugänglich ist, und
  • …wenn zudem die administrativen Tätigkeiten rund um die Leserkommentare nicht über die Schnittstellen im Blogsystem oder CMS erledigt werden, sondern über eine zweite Stelle.

Ich kann darin jedenfalls keinen Vorteil erblicken. Wenn zudem in einem exquisit deutschsprachigen Blog die Aufforderung »Please enable JavaScript to view the comments powered by Disqus« erscheint, während jedes mittelgroße Blogsystem oder CMS vollständig und meist ansprechend ins Deutsche übersetzt ist, erscheint die Verwendung von »Disqus« noch idiotischer. »Disqus« ist genau das Richtige für die Deppen 2.0, bei denen ein dummer Kopf auf einem gesunden Körper thront.

Kann nicht mal bitte jemand Hirn vom Himmel regnen lassen?! Oh, gucke mal, da hinten spannt ein Blogger einen Regenschirm auf… 🙁

Der Screenshot ist ein Beispiel von hunderten. Die Dummheit breitet sich wie ein rasender Fraß im Web aus. Und zwar seit Jahren.

¹Um herauszubekommen, was auf der Seite dargestellt werden sollte, muss ich mir den HTML-Quelltext anschauen.

Veröffentlicht unter Bloggen | Verschlagwortet mit , , , , , | 10 Kommentare

Airbags und Schlangenöl

Publiziert am 23. November 2013 von Elias

Dieser Text ist aus einem Kommentar für »Unser täglich Spam« entstanden, der es in meinen Augen wert ist, hervorgehoben zu werden.

Ein im Auto eingebauter Airbag kann nicht die Vorsicht im Straßenverkehr ersetzen. Er kann nicht einmal den Unfalltod verhindern, nur unwahrscheinlicher machen.

Jeder, der die Behauptung aufstellte, dass ein Airbag ein Ersatz für Vorsicht und ein wirksamer allgemeiner Schutz gegen den Unfalltod ist, würde hoffentlich von jedem Inhaber eines handelsüblichen Gehirnes ausgelacht; und wenn er andere mit rhetorischen Tricks und der ausgewieften »Psychologie« eines Werbers von dieser Behauptung überzeugen wollte, würde er als gefährlicher Irrer angesehen.

Was Antivirus-Software betrifft, ist dieser für den davon Betroffenen und überdem für andere Menschen gefährliche Irrsinn die Regel.

Natürlich hinkt der Vergleich.

Denn ein Airbag unterscheidet sich in drei Punkten vom Antivirus-Programm.

Erstens ist der Schaden durch eine Übernahme eines Computers durch eine Schadsoftware nicht ganz so unumkehrbar. Im schlimmsten Fall gibt es ein bis zwei Jahre unerfreulichen Schriftverkehr mit Banken, Rechtsanwälten, Staatsanwälten, man lernt ein paar Untersuchungsrichter kennen, denen man seine Geschichte erzählt und man hat am Ende einen finanziellen Schaden von einigen tausend Euro, weil die eigene Identität, ein paar Accounts und die Internetleitung für betrügerische Geschäfte aller Art, Sabotage durch DDoS-Attacken, die Verbreitung illegaler Pornografie und manipuliertes Online-Banking missbraucht wurden. Das ist ziemlich scheiße, aber es ist deutlich verschmerzbarer als der Tod.

Zweitens ist beim Airbag die technische Funktion auch für Laien völlig klar und verständlich. Bei der plötzlichen Abbremsung des Autos durch einen Aufprall wird ein Luftkissen in Lenkradhöhe binnen drei hundertstel Sekunden mit Druckluft gefüllt, um gefährliche, oft tödliche Kopfverletzungen zu reduzieren. Es ist möglich, die genaue Funktion zu spezifizieren, und der dadurch gegebene Zuwachs an Sicherheit ist quantifizierbar und einer vernünftigen Untersuchung zugänglich. Es ist ja auch nicht so, dass sich ein Airbag manchmal »einfach nur so« öffnet, sondern es ist völlig klar, bei welcher physikalischen Einwirkung er aktiviert werden sollte. Nichts davon gilt äquivalent für Antivirus-Software.

Und drittens ist es nicht so, dass der Einbau eines Airbags einem Auto irgendwie schadet, zu nennenswerten zusätzlichem Spritverbrauch führt oder gar dazu führen kann, dass das Auto auf einmal gar nicht mehr funktioniert. Antivirus-Software hingegen reißt nennenswerte Ressourcen des Computers an sich, führt durch ständig laufende, aufwändige Hintergrundprozesse zu einem höheren Energieverbrauch (wie hoch ist wohl die zusätzliche Treibhausgas-Belastung durch Antivirus-Programme?) und hat in der Vergangenheit immer wieder einmal dazu geführt, dass Komponenten des Betriebssystems als Schadsoftware erkannt wurden, so dass der Rechner nicht mehr funktionierte – und wenn es nicht ganz so schlimm kam, dann wurden immer wieder einmal zu Unrecht harmlose Websites als angebliche Schadsoftware-Schleudern blockiert oder TCP/IP funktionierte mal nicht mehr. Letzteres ist ja in der Tat ein ganz wirksamer Schutz, fast so wirksam wie eine Enthauptung gegen Kopfschmerz…

Das ist eben der Unterschied zwischen quantifizierbarer, erklärbarer und untersuchbarer Sicherheit und einer eher psychologischen »gefühlten Sicherheit«, mit der man Software verkaufen will.

Ich müsste zu diesem Thema eigentlich viel mehr schreiben, aber schon diese Kürze macht hoffentlich fühlbar, warum ich ein gewisses Urteil über diese Gattung Software fälle und Antivirus-Programme zugegebenermaßen unsachlich als »Schlangenöl« bezeichne. Meine Unsachlichkeit ist nichts weiter als meine zunehmende Genervtheit über eine Dummheit, die durch verdummende Reklame und eine dümmliche Presse vorangetrieben wird.

Wenn die nicht näher quantifizierbare »teilweise« oder »zusätzliche« Sicherheit der Antivirus-Software zur »eigentlichen Computersicherheit« erhoben und immer wieder als ganz wichtig und wesentlich dargestellt wird; wenn naive, technisch nicht ganz so kenntnisreiche Anwender durch diese mediale und werbende Präsentation dazu verleitet werden, sorg- und gedankenlos zu werden und sich auf den Zauber unverstandener (und zu allem Überfluss: geheimgehaltener) Methoden zu verlassen – tja, dann ist dieses technoquacksalberische Schlangenöl tatsächlich ein Beitrag dazu, dass sich das »Geschäft« der organisierten Kriminalität im Internet auch in zehn Jahren noch lohnen wird. Und damit sich das auch wirklich niemals ändern kann, kommt hinzu, dass das funktionierende »Geschäft« der organisierten Internet-Kriminalität gleichzeitig das von Angst und Unkenntnis vieler Menschen angetriebene Geschäft der Antivirus-Unternehmen ist.

Denn alle diese Unternehmen wären ziemlich schnell bankrott, wenn den Menschen sichere Software und sichere Betriebssysteme zur Verfügung stünden – und wenn die Menschen alle wüssten, wie man sich selbst vor Angriffen mit Schadsoftware schützen kann.

Das, was alle diese Unternehmen zu bekämpfen vorgeben, ist nicht mehr und nicht weniger als die Grundlage ihres Reibachs. Kein Wunder, dass die Ergebnisse so bescheiden sind.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | 8 Kommentare

Dialoge, die das Internet schrieb

Publiziert am 13. November 2013 von Elias

Ich bin eher unwillig, etwas dazu zu schreiben. Zu dieser Idee von Google, dass man für Kommentare auf YouTube nun kein YouTube-Konto mehr, sondern ein Google-Plus-Konto benötigt. Zu den arschlochhaft verschleiernden Texten, mit denen eine derartige Zwangsumstellung den bestehenden YouTube-Nutzern wie eine eigene Entscheidung untergejubelt werden soll, kein Wort mehr. Aber ich schreibe trotzdem etwas dazu – in Form eines Dialoges zwischen Norbert Nutzer, im Folgenden kurz einfach N. N. genannt, und Nero Claudius Caesar Augustus Googleicus, im folgenden kurz einfach Nero »Google« genannt. Wer die auffällig in der Satire verstreuten Wahrheiten findet, möge sie weitergeben! Wer die in den Wahrheiten versteckte Realsatire findet, möge herzhaft darüber lachen! Google-Accounts kann man übrigens löschen…

Norbert Nutzer: Oh, hoher Herr, schön, einmal bei ihnen vorsprechen zu dürfen.

Nero Claudius Caesar Augustus Googleicus: Was ist dein Begehr, Nutzer?

N. N.: Ich möchte wieder dieses YouTube nutzen können, das sie zerstört haben.

Google: Aber das ist doch nicht zerstört, du kannst doch weiterhin wie gewohnt Videos anschauen.

N. N.: Ja schon, aber ich kann sie nicht mehr kommentieren.

Google: Doch, du kannst natürlich auch kommentieren. Das habe ich gerade erst neu aufgebaut, und es funktioniert.

N. N.: Aber warum haben sie es neu aufgebaut? Es hat doch vorher auch funktioniert. Wenn ich mit meinem YouTube-Account angemeldet war, hatte ich ein Eingabefeld. Dort konnte ich meine Anmerkungen, Fragen, Wünsche, Ideen und Widersprüche zum Video loswerden. Dann habe ich den Text abgeschickt, und er wurde zusammen mit anderen Kommentaren sichtbar.

Google: Aber Nutzer, das kannst du doch immer noch tun.

N. N.: Nein, Erhabener Herrscher der Webdienste, das kann ich jetzt nicht mehr. Wenn ich jetzt in das Feld zum Kommentieren klicke, erscheint ein Dialog, der mich fragt, ob ich weiterhin meinen YouTube-Namen oder lieber meinen Google-Namen benutzen will, um die vorher stets freigeschaltete Kommentarfunktion freizuschalten. Und wenn ich darin auswähle, dass ich weiterhin meinen YouTube-Namen verwenden will, erscheint ein weißes Fenster, das ich mit einem »X« wegklicken kann*, und dann wird mir in einem grün hinterlegten Feld gesagt, dass ich später noch einmal daran erinnert werde.

Google: Das liegt daran, dass du deinen YouTube-Namen verwenden willst. Würdest du deinen Google-Namen verwenden, könntest du nach einer kurzen Konfiguration gleich wieder kommentieren.

N. N.: Aber Google, wenn ich »meinen« Google-Namen verwenden will, wird mir – was übrigens nirgends in deinem gnädig eingeblendeten Dialog deutlich wird – ein Account bei Google Plus eingerichtet, den ich dann zum Kommentieren verwenden kann. Ich will aber keinen Account bei Google Plus.

Google: Dann kannst du eben nicht mehr kommentieren.

N. N.: Aber es ging doch vorher, und zwar einfach und problemlos.

Google: Ich habe ein Dekret erlassen, dass jeder, der einen von mir angebotenen Webdienst verwendet, automatisch auch einen Account bei Google Plus bekommt. Dieses Dekret gilt auch für dich, Nutzer. Und das Vergangene ist vor allem vergangen.

N. N.: Aber warum werfen sie ein funktionierendes Kommentarsystem einfach so weg? Die Menschen haben sich daran gewöhnt. Sie haben es genutzt. Es hat ihnen genützt. Es war gut, wie es war.

Google: Das wirst du nicht verstehen. Angehende Weltherrscher haben dunkle Geheimnisse.

N. N.: Versuch sie es mir einfach zu erklären, Erhabener, vielleicht verstehe ich wenigstens etwas.

Google: Kannst du dich noch erinnern, wie ich im Sommer 2011 Google Plus eingeführt habe? Wie ich einen »geschlossenen Betatest« veranstaltet habe, der so geschlossen war, dass die ganze Presse darüber berichtet hat und dass jeder an eine Einladung kam? Ich habe wirklich alles getan, um viel Aufmerksamkeit wie möglich für Google Plus zu bekommen, und ich habe diese Anstrengungen in der ganzen Zeit nicht nachgelassen. Ich habe Leuten werksseitig eine App in ihr Handy installiert, die sie nicht löschen können. Ich habe normale Reklame dafür gemacht. Und trotzdem ist Google Plus – gemessen an meinen Erwartungen – ein Flop, ein brachliegendes Angebot. Da habe ich mir gesagt, so wahr ich Nero Claudius Caesar Augustus Googleicus bin, wenn sie mein Google Plus nicht freiwillig wollen, dann zwinge ich es ihnen so oft auf, wie es nur möglich ist. Zum Beispiel jetzt bei YouTube. Nun wird aus jedem YouTube-Kommentar ein Ereignis bei Google Plus. So kann ich den Menschen, die meine Schlacht um die Vorherrschaft im Web finanzieren, Zahlen präsentieren; Erfolge, die sie überzeugen. Und ich kann meine eigenen Pläne vorantreiben.

N. N.: Aber Google, ist es nicht ein bisschen unfair, wenn sie die Videos anderer Leute als Köder für ihre persönlichen Pläne zu verwenden?

Google: Herrschaft ist unfair, Nutzer. Was die Gladiatoren tun, die in meinen Zirkus sind, das bestimme ich. Den meisten Menschen ist es eh gleichgültig, so lange sie beim Zuschauen nur gut unterhalten sind. Du bist Nutzer. Der Hund wedelt mit dem Schwanze, und nicht der Schwanz mit dem Hunde. Und jetzt mach deine tiefe Verbeugung und leg dir deinen Google-Plus-Account an, damit du wieder kommentieren kannst!

Norbert Nutzer macht seine tiefe Verbeugung, stellt sich in einer keck aufkommenden Phantasie vor, wie er dem Kaiser in die Krone kackt und tritt ab. Zurück bleibt Nero Claudius Caesar Augustus Googleicus, umgeben von der obszön glimmenden Glorie seiner Selbstherrlichkeit. Er singt, begleitet von den rauschenden Platten seiner Datacenter, im monotonen Sang Zahlen vor sich hin und entwirft dazu zusammen mit einem Stab von Geheimdienstmitarbeitern, Großaktionären und sonstigen Arschlöchern auf geduldigen Reißbrettern das neue Internet nach seinen Vorstellungen. Im Hintergrund brennt verblüffend langsam das alte Web ab. Eine täglich größer werdende Anzahl von Idioten wärmt sich an den Flammen und freut sich. Vorhang.

*Warnung: Der Link führt zu Google. JavaScript ist erforderlich.

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , , , | 10 Kommentare

WordPress 3.7: Die skurrile Sicherheitsfunktion

Publiziert am 25. Oktober 2013 von Elias

Ich finde es übrigens nett, dass sich die WordPress-Entwickler so sehr um die Sicherheit von WordPress-Installationen kümmern. Sie geben jetzt ab der Version 3.7 sogar einen kostenlosen Hinweis, wenn man eine unsichere Installation hat, formulieren diesen allerdings in einer sehr skurrilen Art und Weise.

Wenn man im Dashboard unter Aktualisierungen den Text »Künftige Sicherheitsupdates werden automatisch durchgeführt« lesen kann, weiß man, dass mit den Zugriffsrechten des Webservers im Datensystem der WordPress-Intallation beliebig Dateien der WordPress-Installation manipuliert werden können. Darüber freut sich jeder Angreifer, der es über irgendeine Lücke schafft, Code mit den Rechten des Webservers auszuführen – denn was könnte schöner sein, als den Schadcode oder die Backdoor direkt in die Installation einer Software unterzubringen. Und irgendeine Lücke findet sich immer, oft schon im WordPress-Kern, noch öfter in irgendwelchen naiv (oder wirklich schlecht) programmierten Plugins oder Themes.

Wer sein WordPress auf 3.7 geupdatet hat und die Meldung liest, dass sich WordPress nun automatisch die Updates holt, sollte unbedingt und so schnell wie möglich die Zugriffsrechte für alle Dateien der Installation so setzen, dass der Webserver nur lesend darauf zugreifen kann. (Die einzige Ausnahme ist das Upload-Verzeichnis wp-content/uploads, dort muss der Webserver auch schreiben können. Hier kann und sollte man allerdings über eine .htaccess die Ausführung von PHP- und sonstigen Skriptcode unterbinden.) Alles andere macht es einem eventuellen späteren Angreifer sehr einfach. Die Angriffe werden natürlich nicht aus persönlichen Gründen vorgetragen, sondern es werden skriptgesteuert große Teile des Webs auf Schwächen durchprobiert, deshalb sage sich niemand so etwas wie »Mein kleines Blog interessiert doch eh niemanden, wer soll das also hacken«! Spätestens, wenn es für den Spamversand, für Phishing, für Sabotage, für irgendeinen Betrug, für die Verbreitung von Kinderpornografie oder andere kriminelle Aktivitäten von irgendwelchen Löchern missbraucht wurde, interessiert sich jemand für das kleine Blog, und dieser jemand ist die Staatsanwaltschaft, die gegen den Betreiber eines kleinen, uninteressanten Blogs ermittelt – oder auch mal die Anwaltskanzlei eines Rechteverwerters, wenn der Webspace für Urheberrechtsverletzungen… ähm… genutzt wird. Der Hack kann also schnell lästig und sogar teuer werden.

Insofern ist das »Sicherheitsfeature« einer automatischen WordPress-Aktualisierung ja wirklich ein Beitrag zur Erhöhung der Sicherheit. Ein Blog, in dessen Installation Zugriffsrechte so restriktiv vergeben wurden, dass dieses Feature nicht mehr funktionieren kann, ist viel sicherer vor Angriffen – und der einzige Mehraufwand, den man bei diesem Maß an Sicherheit hat, ist, dass man hin und wieder von Hand die Installation aktualisieren muss und dafür ein FTP-Passwort angeben muss, damit WordPress an die benötigten Zugriffsrechte kommt…

Dass hingegen ein vollautomatisches Aktualisieren einer Web-Anwendung die Sicherheit dieser Web-Anwendung verbessern könne, ist ein von buntem Feenstaub durchhauchtes Märchen, das man nur Dummen, Unwissenden und Tagträumern erzählen kann. Ich befürchte allerdings, von denen gibt es unter den WordPress-Nutzern eine ganze Menge. Und diese freuen sich jetzt vermutlich sogar darüber, dass sie sich mit einer unsicheren Installation ihres Blogsystems sicherer fühlen

Gruß auch an die WordPress-Entwickler mit ihrer moppeligen Bloatware und ihren kranken Beglückungsideen!

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | 2 Kommentare