node-0

Wen wundert das: Es gibt schon wieder ein »urgent security release« der auf PHP basierenden Blog-Software Wordpress, dieses Mal wird auf Version Wordpress 2.3.3 upgedatet.

Ich finde es immer gut, wenn Software aktiv gepflegt und aufgetretene Probleme, besonders im Sicherheitsbereich, umgehend gelöst werden. Daher finde ich die grundsätzliche Politik von Wordpress völlig richtig, häufige Sicherheitsupdates herauszubringen, besonders dann, wenn es schon zero day exploits gibt.

Das unterscheidet Wordpress und viele andere Open-Source-Produkte wohltuend von proprietärer Software wie etwa (aber bei weitem nicht nur) Microsoft Windows und Office. Da wird mit dem Flicken von Sicherheitslöchern gerne auch mal über ein Jahr gewartet, auch wenn bereits reichlich Exploits für diese Lücken existieren. Microsoft ist es aber scheinbar oftmals wichtiger, Lücken in ihrem DRM zu schließen als tatsächlich für den Nutzer problematische Sicherheitslücken. Bliebe die Sicherheitslücke im DRM ungeschlossen, dann könnte ein technisch versierter Benutzer – Gott bewahre! – tatsächlich mal einen Song oder Film kopieren, obwohl das irgendein Rechteverwerter nicht will.

Dass eine ungeschlossene tatsächliche Sicherheitslücke dazu führen kann, dass ein Nutzer alle Daten verliert und sein Konto im real life leergeräumt wird – das fällt dann offenbar nicht so sehr ins Gewicht.

Wie gesagt, da ist mir die Sicherheitspolitik im Open-Source-Bereich schon wesentlich lieber.

Ich frage mich allerdings schon, warum die Leute bei Wordpress es nicht schaffen, ihren XML-RPC-Dienst sicher zu bekommen. So furchtbar komplex ist das Thema auch nun wieder nicht, dennoch wird seit einiger Zeit ständig an exakt dieser Komponente rumgefixt.

Natürlich, jetzt könnte man wieder einen Flame-War starten, in dem die eine Seite argumentiert, PHP sei eben eine inhärent unsichere Sprache und nur zum rumfrickeln geeignet, während die anderen »Stimmt ja gar nicht!« rufen und sich beleidigt in die Ecke stellen.

Das kann aber nicht die Lösung sein.

Die Lösung wäre vermutlich eine Neu-Implementierung des XML-RPC-Dienstes von Wordpress in einem cleanroom. Aber das ist wohl eher ein Wunschtraum eines jeden Wordpress-Anwenders.

Ähnliche Artikel in diesem Blog:

• Die NSA-»Hilfe« bei der Entwicklung von Windows
• Microsoft Windows Server 2008 – kopflos
• Christen und der Kreationismus in Deutschland
• Code-Sicherheit: Open Source vs. Closed Source
• Zukunft von freedb scheint gesichert

Tags: Microsoft, Open Source, OSS, Windows, Wordpress

Der Beitrag wurde am Dienstag, den 5. Februar 2008 um 11:40 Uhr veröffentlicht und wurde unter DRM, Software, Technologie abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.