Het hol van de Code

Waarom niet spreekt iedereen over het? Waar is het tumult?

Goed, op dit ogenblik, worden de gaten in 1.5 grotendeels als beschouwd om „oud nieuws“. Op om het even welk ogenblik post iedereen informatie over een aanval, is het één lijnantwoord iets volgens de lijnen van „dat werd bevestigd in 2.0.3 ″. Dat sluit de kwestie en zo verder reist het nieuws geen. Het schijnt dat zodra een veiligheidsversie uitgaat, er daar is een driedaags venster zijn waarin blogs over de update posten. Na dat, spreekt niemand over het omdat zij gevonden enkel informatie over andere blogs herhalen. En niemand wil dat doen. Niemand wil aan blog oud nieuws en vandaag, is om het even wat over een oude week OUD nieuws.

Zo, houdt op deze informatie zeer snel uitspreidend. Na ongeveer één week, zijn de veiligheidsrisico's in oude versies eenvoudig te oud nieuws om te spreken over. Vele mensen zijn boos bij hoofdhonchos WordPress, op dit ogenblik, wegens dit raadsel. Die in controle van de WordPress broncode houden een zeer strikte greep op geruchten van veiligheidsgaten.

Ik heb materiaal door Matthew Mullenweg, WordPress's schepper en hoofdhoncho, lang genoeg gelezen te geloven om dat hij werkelijk een vrij goede kerel is. Er zijn mensen, echter, die dat dit het idee van veilig het houden van een WordPress door het ervan vergewissen zich de kwetsbaarheid worden verduisterd denken, slechts werkt aan Mat voordeel.

Terug in Juli, kunt u dat Dr. Dave, auteur van populaire Spam Karma 2 gehoord hebben geroepen plugin het ophouden met. Hij gebruikte zijn plugin om nieuws aan elk van zijn gebruikers uit te spreiden. Hij was tegelijkertijd eerder gefrustreerd. Aangezien hij geen woord over WordPress in de laatste zes maanden heeft gepost, betwijfel ik die word veranderd.

In een post getiteld Kritieke Aankondiging die ALLE gebruikers WordPress beïnvloedt, schreef hij:

„Waarom u dat tot Grote Who verlaat van Kerels niet wat voor You®™ Best is weet en naar ergens gebroken het worden op jenever onder een Parijse brug toen?“ terugkeer
Neem uw oogst:
Omdat tijdens het afgelopen jaar van verre betrokkenheid in de gemeenschap van wp, ik en, goed vaak helemaal met de manier ben komen vragen, niet akkoord gaan Grote Who van Kerels weet wat voor You®™ behandelde gelijkaardige problemen in het verleden Best is.

Omdat, al bescheidenheidsterzijde leggen, ik niet zeker ben hoe hun strategie om dergelijke problemen (die ik in actie in het verleden) heb gezien te behandelen beter is gebleken bij het bevatten van ramp dan hier goed keurde ik.

Of misschien eenvoudig omdat, aangezien één of andere Grote Who van Kerels weet wat voor You®™ Best is in één nuttig beetje van spruit-de-Boodschapper mededeling hebben geïmpliceerd, ben ik een aandacht-hunkerende naar idioot beter met niets met zijn tijd te doen dan zijn medegebruikers te doen schrikken WordPress in het unchecking van één enkele optie in het hun adminscherm.

Deze bespreking vond op de lijsten evenals op Dr. Dave's blog plaats. In terugblik, schijnt het, aan me, geloofde Dr. Dave dat sommige van deze veiligheidsbelang waren hushed omdat het slechte publiciteit voor Automattic was. Het gezichtspunt van Dr. Dave's is misschien dat WordPress een groot public relationsHulpmiddel voor Mat bedrijf Automattic is en waarom hij markt Automattic zou moeten helpen als hij niets voor het krijgt? Dr. Dave kondigde zijn plannen aan om de wereld erachter te verlaten WordPress en heeft niet van het sindsdien gesproken voor zover ik kan vertellen.

Zijnd een optimist, die niet mijn gezichtspunt is. Ik geloof dat Mat, Ryan, Teken, Lloyd en anderen de details van om het even welke veiligheidsrisico's stil, uit bescherming voor de WordPress basis van gebruikers houden. Ik denk zij aan het dat idee de „Meer mensen die van de aanvallen kennen verwerpen, is de meer uw plaats van een aanval in gevaar.“. Er is een goed beetje van logica aan dat. Als meer newbiehakkers instructies voor aanvallen WordPress hadden uitgeschreven, niet meer van hen met het aanvallen van plaatsen zou experimenteren? Maakte het lezen van mijn beschrijving van de traceless aanval u over denken details u niet over voordien had gedacht? Als zo, misschien IS de dubbelzinnigheid beter. Aan een graad.

Daar de waarheid is?

Persoonlijk, denk ik de waarheid ergens binnen - tussen die twee uitersten is. Noch is Mat Gulzige Opperste S.O.B. (Grote Who van de Kerel weet wat voor You®™) Best is, noch publiceert analyses, voor elke mogelijke aanval, het juiste te doen ding.

In Matte gunst, gebeuren de aanvallen meestal om bekendheid aan de aanvaller te brengen. Het schrappen van posten van persoonlijke blog van iemand gaat niet af om veel van om het even wat aan medehakkers te bewijzen. In feite zou het een afval van tijd in vergelijking met het schenden van een plaats zijn. Voeg bericht trots schreeuwen toe „Binnendrongen in een beveiligd computersysteem door zulke en zulke“ en u verschijnt nu in Google. (Iedereen zegt „Oooooooo“…) Dit houdt ons brandkast. De meeste gebruikers WordPress hebben weinig om zich ongerust te maken over. Tot hun blog zeer populair wordt, is de klap voor de bok niet te hoog.

Zodra een plaats en goed - het geweten groot is, dan zou het kunnen de moeite waard zijn aanvallend enkel voor heck van het. Matte persoonlijke blog werd vroeger op het jaar binnendrongen in een beveiligd computersysteem slechts omdat hij een beroemdheid in de wereld is WordPress en de hakker wilde opscheppen dat hij het deed. Uw plaats op huisdierenrotsen, waarschijnlijk heeft de bekendheid van zijn plaats niet. Zo, Matte minstens gedeeltelijk juist dat het houden van deze dingen onder omslagen voor een periode de beginnerhakkers verhindert willekeurige schade aan plaatsen te berokkenen.

Nochtans, waar die theorie, in de praktijk, is op de einden van het spectrum opsplitst. Één eind impliceert het feit dat WordPress heel wat collectieve rente dit jaar is geworden. Plaatsen zoals direct 1and1.com, yahoo, tijger, Nieuw Uw Tijden (ik geloof - het was één van die bigboys) en verscheidene andere nationale tijdschriften en kranten al looppas WordPress blogs nu. 1and1.com, één bijvoorbeeld, stelt nog nieuwe blogs op gebruikend versie 2.0. Als zij de ware kwetsbaarheid in deze versies kenden, zouden zij nog het gebruiken van hen opstellen? Mijn onderzoeken in dit artikel toonden vroeger aan dat meer onveilige WordPress blogs dan veilige degenen werd opgesteld.

Het andere eind van het spectrum is alle niettechy mensen die hun eigen blogs in werking stellen. Het aantal kleine plaatsen die daar oude versies in werking stellen is wankelend. Dit zijn de mensen die De nieuwsgroepen lezen geen. Zij Lezen wordpress geen ontwikkelaar blogs. Als zij niet in het duidelijke Engels worden verteld wat het gevaar is, hoe zijn zij om het te weten?

Dat is waarom de benadering moet veranderen. Wij moeten het woord over de behoefte weggaan bij te werken.