Homepage selbermachen 7.851 Themen, 35.615 Beiträge

Verfolgung starten Optionen

Wordpress 3.1.3 jetzt mit "Clickjacking"-Schutz

Olaf19 / 6 Antworten / Baumansicht Nickles

Hallo zusammen!

So ganz klar ist es mir nicht geworden, wie das mit dem Clickjacking funktioniert - ein Blog ist doch nichts anderes als eine Sonderform einer Internetpräsenz, und da hat außer dem Webentwickler resp. Admin niemand Schreibrechte drauf. Wie ist es dann möglich, dem Admin dort etwas "unterzujubeln"?

Wie auch immer - die aktuelle Version von Wordpress hat diesbezüglich einen Schutzmechanismus integriert. Für den einen oder anderen von euch vielleicht ganz interessant:

http://www.heise.de/newsticker/meldung/WordPress-3-1-3-schuetzt-vor-Klickdiebstahl-1251145.html
http://de.wikipedia.org/wiki/WordPress

FYI
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
asterix5 Olaf19 „Wordpress 3.1.3 jetzt mit "Clickjacking"-Schutz“
Optionen
da hat außer dem Webentwickler resp. Admin niemand Schreibrechte drauf

Du hast die Hacker vergessen. Dafür sind Wordpress-Installationen ja berühmt.

Und deshalb veröffentlicht Wordpress laufend Sicherheits-Updates, die man dann tunlichst installieren sollte.

Also nichts neues.

\"Als ich nach Deutschland kam, sprach ich nur Englisch - aber weil die deutsche Sprache inzwischen so viele englische Wörter hat, spreche ich jetzt fließend Deutsch!\" (Rudi Carrell)
bei Antwort benachrichtigen
mawe2 Olaf19 „Wordpress 3.1.3 jetzt mit "Clickjacking"-Schutz“
Optionen
ein Blog ist doch nichts anderes als eine Sonderform einer Internetpräsenz, und da hat außer dem Webentwickler resp. Admin niemand Schreibrechte drauf.

Bei einem Blog können doch Hinz & Kunz auch Kommentare abgeben. Es hat also keineswegs nur der Admin Schreibrechte sondern eigentlich fast jeder.

Und wenn über diese Kommentare nun Schadcode eingeschleust wird, dann wären die weiteren Nutzer (und natürlich auch der verantwortliche Publisher) ziemlich betroffen.

Daher sind Schutzmaßnahmen jeder Art hier besonders wichtig.

Gruß, mawe2
bei Antwort benachrichtigen
Olaf19 mawe2 „ Bei einem Blog können doch Hinz Kunz auch Kommentare abgeben. Es hat also...“
Optionen

Moment - "Kommentare abgeben" hat aber nichts mit Manipulationen am Programmcode zu tun. Ich kann hier bei Nickles auch posten was das Zeug hält - damit habe ich noch lange keinen Einfluss auf die Programmierung der Seite.

Daher kommt die Erklärung von Asterix der Sache schon um einiges näher.

THX
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
mawe2 Olaf19 „Moment - Kommentare abgeben hat aber nichts mit Manipulationen am Programmcode...“
Optionen

Ich bin kein Hacker...

Aber ich kann mir gut vorstellen, dass man über die Kommentarfunktion eben auch Schadcode (incl. Links) einschleusen kann. Schreiben kann ich jedenfalls auf diesem Wege. Insofern ist so ein Blog (zumindest an dieser Stelle) für mich nicht schreibgeschützt!

Wenn das hier bei Nickles alles zuverlässig abgesichert ist - umso besser für uns alle. Wenn es aber auf manchen WordPress-Präsenzen dort Defizite gibt, kann das schon ein Einfallstor für Schadcode bzw. für weitere Aktivitäten von Hackern sein.

Gruß, mawe2

bei Antwort benachrichtigen
Crazy Eye Olaf19 „Moment - Kommentare abgeben hat aber nichts mit Manipulationen am Programmcode...“
Optionen

du kannst aber bei Wordpress durchaus auch eine Seite mit mehreren Autoren machen, je nachdem wie du die triffst/rekrutierst kann da schon was passieren.

Ich hab zum Beispiel eine Jomomla Seite zu einen Computerspiel zusammengeklickt, bei der rein theoretisch jeder als Gastauthor artikel einreichen könnte, ich habe es allerding so eingestellt das ich nochmal drüber lese bevor es veröffentlicht wird das kann man aber auch anders einstellen.

bei Antwort benachrichtigen
Borlander Olaf19 „Wordpress 3.1.3 jetzt mit "Clickjacking"-Schutz“
Optionen
und da hat außer dem Webentwickler resp. Admin niemand Schreibrechte drauf. Wie ist es dann möglich, dem Admin dort etwas "unterzujubeln"?
 Durchs Clickjacking ändert auch niemand anderes als der Admin  selbst was an der Seite. Nur, dass er nicht merkt wo er in Wirklichkeit hingeklickt hat...
bei Antwort benachrichtigen