Also nichts wie los liebe WordPress-Admins, schnell die wp-login.php ändern.
Genaue Infos zum Bug gibt’s von Laurent Gaffié. Der Bug wird aber nicht als kritisch eingestuft, da es einem Angreifer keinen Vorteil verschafft, aber es führt zu ein bisschen Ärger beim Admin.
Der Bug ist übrigens ein sehr gutes Beispiel für unsaubere Programmierung. Ein Eingabeparameter wird lediglich mittels empty($key) überprüft. Sinnvoller als zu überprüfen wie ein Parameter nicht beschaffen sein soll, ist es immer zu überprüfen WIE genau der Inhalt der Variable aussehen muss.
Also zum Beispiel könnte man an dieser Stelle eine Stringconversion und nachträglich eine Überprüfung auf Mindestlänge und enthaltene Zeichen durchführen:
$key = (string) $key;
if (!preg_match("~[A-Za-z0-9]{20}~", $key) ) {
return new WP_Error('invalid_key', __('Invalid key'));
}
Das ganze jetzt so aus der Hand geschrieben, aber sollte so in etwa funktionieren. Unter der Bedingung, dass
$key
immer 20 Zeichen lang ist, was ich jetzt nicht weiß.
Eine Zeile weiter oben heißt es sogar schon:
$key = preg_replace('/[^a-z0-9]/i', '', $key);
Allerdings ohne vorher auf einen String oder die Länge zu überprüfen.
Achja, ist so ein ganz klarer “Mit Java wäre das nicht passiert”-Bug
Große Feinde bieten auch eine größere Angriffsfläche. Twitter zum Beispiel ist, wie einige Medienberichten, seit ein paar Stunden wegen einer DoS-Attacke down. Da kann man eigentlich nur hoffen, dass es einen selbst bzw. die eigenen Seiten nicht schnell trifft.
Ich habe gerade mal wieder bei unseren AdWords geschaut und mir plötzlich ein klein wenig die Augen gerieben. Da gibt es tatsächlich ein Keyword bei welchem man 5,75 EUR pro Click ausgeben müsste um überhaupt auf die erste Seite zu kommen. Großes Fragezeichen auf meiner Seite…
Top Anzeigenplätze
Was für einen Service muss man anbieten, um bei einer geschätzten Conversion-Rate von unter 1% für “Lamp Hosting” sich Klicks mit 5,75 EUR vergolden zu lassen. Mal nachrechnen: 100 Leute klicken auf den Link, macht 575 EUR. Einer kauft auch was…
Kann mir einer erklären wie sich das rechnen soll? Und dann stehen da solche Anzeigen (siehe Bild rechts). Webhosting supergünstig! Das kann sich doch gar nicht rechnen. Also, falls das hier einer der Anzeigenschalter liest, bitte nen Kommentar wie ihr das macht.
Nachdem mein PC-Spielekonsum in den letzten Monaten rapide abgenommen hat, die Wii eher zum Fitnessstudio-Ersatz “verkommen” ist braucht man doch ab und an mal ein kurzes Spiel.
Android sei dank, gibt es ein paar ganz nette Sachen für unterwegs.
Heute möchte ich mal kurz und knapp ein Spiel vorstellen, welches es noch gar nicht so richtig gibt, sprich “sich im Beta-Stadium” befindet.
Graviturn ist ein Spiel von Florian Heft bei dem man, ähnlich dem bekannten Labyrinth-Spiel, Kugeln durch hin und her schwenken des Telefons bewegt.
Hier gibt es rote und grüne “Kugeln”. Das Spielprinzip sieht vor, dass man die roten aus dem Spielfeld rollen lassen muss und die grünen drin lassen. Super genial-einfache Idee!
Der Schwierigkeitsgrad steigt mit jedem Level an. Es werden dann erst mehr rote, dann mehr grüne Kugeln und letztlich weniger Barrieren die man zum Blockieren der einen oder anderen Sorte Kugeln braucht. Während am Anfang (so die ersten 20 Level) der Schwierigkeitsgrad sehr moderat ansteigt, wirds ab Level 30 wirklich haarig. Zuerst ist mir in Level 35 ein grüner Ball entwischt.
Nach jedem Level wird einem angezeigt wie man sich im Vergleich mit anderen Spielern geschlagen hat. Das ganze läuft anonymisiert über eine Internet-Abfrage.
Da das ganze noch im Beta-Test ist, muss man sich an Flo direkt wenden (siehe Kommentare zum Blogbeitrag) um das Spiel zu testen. Ich freue mich schon drauf wenn es endlich im Android Market erhältlich ist und die Highscores mir nicht ständig sagen, dass ich der erste bin der es in diesen Level geschafft hat.
Hier mal ein technischer Vergleich meiner letzten Smartphones. Ein Detailbericht zum Galaxy und weitere Tipps zu Android folgen in den nächsten Wochen, wenn sich das Telefon bei mir eingespielt hat.
Das Portal Wer-Weiss-Was ist ein Wissensportal, an dem ich schon seit… Ewigkeiten teilnehme. Mitgemacht habe ich, nachdem ich für ein paar Mathematischen Fragen kurz vor der Prüfung einfach keine sinnvollen Antworten mehr im Netz gefunden habe. Ich habe einfach ein Wissensgebiet (in dem Fall war es Mathematik) ausgewählt und nach registrierten Experten gesucht.
Dann konnte ich Experten auswählen, denen dann per eMail meine Frage zugeschickt wurde. Die Experten selbst konnten nun ohne sich irgendwo einzuloggen auf die eMail antworten und ich bekam die dann. Ich konnte sogar direkt wieder antworten und weitere Fragen stellen.
Ich habe seit den vielen Jahren die ich dort mitmache häufig Anfragen erhalten, die ich spontan beantworten konnte. Da hab ich vom Smartphone aus auf antworten geklickt, die Antwort eingegeben und abgeschickt. Kein Problem, das hat mich nur 1-2 Minuten gekostet, selbst wenn es eine ausführliche Antwort war. Das konnte ich sogar in der Bahn machen oder irgendwo.
Für mich war bisher immer der Hauptgrund, weshalb ich bei Wer-Weiss-Was mitgemacht habe, dass es so absolut unkompliziert geht und mich nicht auf Werbeüberflutete Websites schickt. Dieses System will Wer-Weiss-Was jetzt ändern.
Gestern dann diese Mail:
Bisher wurde die Frage dort per Mail verschickt. Wir haben die Mail-Kommunikation über wer-weiss-was vermittelt, sie aber nicht gespeichert. Es gab immer wieder den Wunsch von euch, die darüber gestellten Fragen und erhaltenen Antworten auf der Website zu verwalten. Ebenso häufig wurde gefragt, ob man die hilfreichen Antworten veröffentlichen kann. Dazu müssten wir aber die Mail-Kommunikation für den Nutzer speichern. Dies lässt sich nur schwer so umsetzen, dass es für alle Beteiligten erkennbar ist.
Wir haben die Expertensuche deshalb so verändert, dass sie nicht mehr per Mail verläuft, sondern über ein eigenes Formular auf wer-weiss-was. Die Auswahl der Experten und das Stellen der Frage funktioniert wie bisher, Experten erhalten weiterhin den Hinweis auf Fragen und Antworten per Mail, aber der eigentliche Austausch der Nachrichten erfolgt auf der Website.
Na toll – Der Haupt-Mehrwert und USP von wer-weiss-was zu beliebigen anderen Foren wird mit einem Schlag ausgelöscht. Welcher Produktmanager lässt denn sowas zu oder schlägt es sogar vor?
Technisch ließe sich der Mailverkehr doch problemlos speichern. Ich hatte bisher eigentlich sogar angenommen, dass dies irgendwo passiert. Mit einer entsprechenden Datenschutz-Vereinbarung mit allen Mitgliedern sollte das auch rechtlich kein Problem darstellen.
Für mich ist dies, wenn es sich um eine permanente Änderung handelt, leider mein Abschied von wer-weiss-was.
Das Portal 
