iKA's Blog

… Sie haben gewonnen …

Heute erhielt dann auch unser Anrufbeantworter mal einen Anruf von einer männlichen Computerstimme, die uns erzählen wollte, wir hätten ein Renault Twingo durch eine zufällige Auslosung der Telefonnummer gewonnen und um uns den Gewinn zu sichern, müssen wir nur ein paar Angaben zur Person unter der Nummer 09001010009 tätigen. Natürlich fallen wir auf so einen schäbigen Trick nicht herein, aber ich könnte mir vorstellen, das schon so mancher dieser Bitte entsprochen hatte …

Wenn also jemand oder etwas bei Euch anruft und Euch bittet eine 0900′er Nummer anzurufen, gleich löschen und nicht der Versuchung erliegen!

In diesem Fall ist die Nummer 09001010009, zumindest laut Google, bereits seit längerem einschlägig bekannt und soll einer in Wien ansässigen Firma gehören. Anrufer sollen an ein Call-Center weiter vermittelt, dort für teures Geld zugequasselt werden und das versprochene Auto hat die letzten Jahre laut diverser Seiten wohl auch noch keiner bekommen …

Viele Nutzer und Einsteiger in Linux möchten gerne schnell und einfach sehen können, welche Netzwerkverbindungen gerade bestehen, oder wenn es mal wieder etwas hakt, wissen, welche Anwendung gerade die zur Verfügung stehende Bandbreite verbraucht.

Der erfahrene Konsolennutzer verwendet in einem solchen Fall wahrscheinlich netstat und erhält dann das gewünschte Ergebnis. Oder es wird gleich auf Tools wie z.B. nmap zurückgegriffen. Aber der einfache User kommt damit nicht so schnell ans Ziel, zumal diese Tools oft root-Rechte erfordern und/oder die möglichen Optionen schnell in die Irre führen können.

Für die, die nur mal eben wissen wollen, welche Anwendung gerade im Netzwerk Bandbreite nutzt oder denen, die gerne schnell mal nebenbei gucken wollen, sei hier der Net Activity Viewer von Mihai Varzaru empfohlen. Leider ist er noch in keiner der mir bekannten Distributionsquellen enthalten, so dass man ihn, wenn man ein Ubuntu- oder Debianderivat nutzt, erst mit dem dort verfügbaren Paket installiert kann oder aus dem Source heraus (Anleitung siehe Homepage) erst selber erstellt werden muss.

Wie wohl jeder, der im Netz mehr als nur mal ein paar Seiten anklickt, habe ich das Problem, dass ich unzählige Seiten mit individuellen Zugangsdaten nutze und es immer mal wieder vorkommt, dass ich ein Passwort oder Usernamen vergesse. Eigentlich liegt daher der Schritt Richtung OpenID recht nahe, zumal diese zur Zeit immer öfter angeboten werden und immer mehr Seiten ein Login mit selbiger erlauben. (Z.B. Yahoo, Flickr, Technorati und auch WordPress.com vergeben bereits automatisch oder auf Wunsch eine solche OpenID …)

Mir, der ich unter chronischer Paranoia leide, sobald ich irgendetwas außerhalb meines Schädels ablegen soll, behagt es zwar nicht wirklich, aber ehe ich irgendwann nur noch über Passwort-Wiederherstellungen diverse Dienste nutzen kann, muss auch ich wohl in den sauren Apfel beißen.

Nur welchen Anbieter nutzt man für diesen Zweck? OpenID.net oder einen von denen, wo man bereits automatisch eine bekommen hat? Und wenn nein, geht das nicht auch auf dem eigenem Webspace inkl. SSL-Verschlüsselung, um u.a. dem Phishing, dem diesbezüglich IMHO größten Sicherheitsproblem, etwas entgegen zu wirken?

Lange Rede, kurzer Sinn, hat da schon jemand einschlägige Erfahrungen diesbezüglich gesammelt?

Vor etwa 5 Std. wurde die Version 2.3.3 von WordPress veröffentlicht. Ein Update wird dringend empfohlen, da einige Sicherheitsprobleme inkl. dem gravierenden XML-RPC Implementationsbug gefixt wurden.

PS.: Auch dieses Update konnte ich wieder problemlos mit meinem Skript innerhalb von Sekunden einspielen.

Heute wurde über MilwOrm ein RFI vom bis dahin aktuellen BackUpWordPress von Roland Rust 0.4.2 bekannt.

Bereits nach den ersten Hinweisen ist er das Problem offen in seinem Blog inkl. genaueren Informationen angegangen und noch heute, am selben Tag, bietet er dort auch schon die Version 0.4.3 als Fix zum Download an!

Das nenne ich einen super Service, danke Roland!

Edit: Link auf den Expoid bei MilwOrm entfernt, Google mag den nicht …

Bereits gestern war das erwartete Update auf WordPress 2.3.1 erschienen. Es wurde neben einigen Bugfixes (kleinere und nervige Fehler) u.a. auch endlich die “wp-admin/link.php” gegen den Exploid, der bereits vor einigen Tagen auf BlogSecurity bekannt gemacht worden war, abgesichert. Die komplette Liste ist hier einzusehen.

Somit sollten nun die gröbsten Kinderkrankheiten vom WP 2.3 ausgemerzt sein und alle die noch mit einer älteren Version arbeiten, können jetzt eigentlich (auch dank aktueller Plugins) ein Upgrade ins Auge fassen.

Eben die neue Version 1.7 vom WP-Plugin Simple Tagging installiert. Es sind u.a. einige Änderungen im Administrationsmenü gemacht worden und auch Sicherheitsbugfix ist wohl eingeflossen. Nur welches Problem damit behoben wurden, konnte ich so auf die schnelle nicht finden.

BTW. ich hege ja noch Hoffnungen, dass dieses Plugin irgendwie WP 2.3 kompatibel wird, da das Tagging dann ja “leider” bereits in WordPress enthalten sein wird und zurzeit nicht parallel nutzbar ist …

BlogSecurity brachte heute Morgen die Meldung, dass ein Exploid für WordPress öffentlich wurde. Da das Toolkit somit leicht zugänglich ist, sollte man sich beeilen und auf die aktuelle Version 2.2.3 umsteigen, die von diesem Problem wohl nicht betroffen ist, auch wenn folgendes ggf. für den eigenen Blog nicht zutrifft:

# Tested with Wordpress 2.2, 2.2.2, 2.0.5, 2.0.6, 2.1, (…), PHP/5.2.4 for
# Apache 2.0.58 on Gentoo GNU/Linux. magic_quotes on and off for the different
# exploits.

Unser täglich Update gib uns heute oder anders gesagt, eben beim Schreiben des letzten Beitrags trudelte hier das Update auf den Firefox 2.0.0.6 ein. Es ist zwar dieses mal nur sehr wenig geändert worden (2 Bugfixes), aber zumindest dieser hier ist IMHO schon Grund genug für eine neue Version …

Heute trudelte hier das gestern veröffentlichte Update auf die Version 2.0.0.5 ein. Es sind einige Sicherheitslöcher gefixt worden und man sollte es auf jeden Fall durchführen.

BTW. die bereits hier beanstandete Installation des Wörterbuchs für die Rechtschreibkorrektur bei der Eingabe, funktioniert jetzt endlich auch.