Kommentare zu: Code-Beispiele der Backdoor in Wordpress http://computer-forensik.org/2007/03/07/code-beispiele-der-backdoor-in-wordpress/ Die Website zum Buch "Computer Forensik" und zur Digitalen Forensik in Deutschland Thu, 11 Mar 2010 10:56:43 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Von: Alexander Geschonneck http://computer-forensik.org/2007/03/07/code-beispiele-der-backdoor-in-wordpress/comment-page-1/#comment-1021 Alexander Geschonneck Fri, 09 Mar 2007 21:38:17 +0000 http://computer-forensik.org/2007/03/07/code-beispiele-der-backdoor-in-wordpress/#comment-1021 Naja, die Probleme sind hier vielschichtig. a) Serversicherheit b) User Management c) Code Authentizität Maßnahmen für a) und b) kann man in jedem Buch nachlesen. Zu c) frage ich mich, was aus den guten alten PGP-Signaturen geworden ist, die man früher zusätzlich zum Download angeboten hat, damit man die Authentizität des Codes nachprüfen kann. Ist allerdings außerhalb der Geekworld nicht immer einfach nachvollziehbar. ;-) Naja, die Probleme sind hier vielschichtig.
a) Serversicherheit
b) User Management
c) Code Authentizität
Maßnahmen für a) und b) kann man in jedem Buch nachlesen.

Zu c) frage ich mich, was aus den guten alten PGP-Signaturen geworden ist, die man früher zusätzlich zum Download angeboten hat, damit man die Authentizität des Codes nachprüfen kann. Ist allerdings außerhalb der Geekworld nicht immer einfach nachvollziehbar. -)

]]> Von: bed http://computer-forensik.org/2007/03/07/code-beispiele-der-backdoor-in-wordpress/comment-page-1/#comment-1019 bed Fri, 09 Mar 2007 13:51:18 +0000 http://computer-forensik.org/2007/03/07/code-beispiele-der-backdoor-in-wordpress/#comment-1019 Ich befürchte ja, das dies nur die Spitze eines Eisberges ist, häufig sind bei Opensource Projekten wechselnde Entwickler beteiligt. Wenn in der Anfangszeit ein Member ausscheidet und später in die Spam-Szene wechselt, könnte sein Wissen nützlich sein und er die "Anfangspassworte" die vom Projektleader vergeben wurden, einfach mal bei den verbliebenen Entwicklerkonten ausprobieren. Ich habe da so meine Erfahrungen, allerdings aus firmeninternen Entwicklerverhalten. Warum sollte es in öffentlich zugänglichen Umgebungen viel besser sein? So eine von dir beschriebene Codeänderung wird, wenn sie scheinbar von einem "alten Hasen" kommt ja bestimmt von anderen Mitentwicklern bemerkt. Dann hätte man ja viel zu tun... Mein Fazit: Mit Rack the ripper o.ä. einfach mal seinen Sourcen Server überprüfen und Anfangspassworte mit in das Wörterbuch integrieren. Ich befürchte ja, das dies nur die Spitze eines Eisberges ist, häufig sind bei Opensource Projekten wechselnde Entwickler beteiligt. Wenn in der Anfangszeit ein Member ausscheidet und später in die Spam-Szene wechselt, könnte sein Wissen nützlich sein und er die “Anfangspassworte” die vom Projektleader vergeben wurden, einfach mal bei den verbliebenen Entwicklerkonten ausprobieren.
Ich habe da so meine Erfahrungen, allerdings aus firmeninternen Entwicklerverhalten. Warum sollte es in öffentlich zugänglichen Umgebungen viel besser sein?
So eine von dir beschriebene Codeänderung wird, wenn sie scheinbar von einem “alten Hasen” kommt ja bestimmt von anderen Mitentwicklern bemerkt. Dann hätte man ja viel zu tun… Mein Fazit: Mit Rack the ripper o.ä. einfach mal seinen Sourcen Server überprüfen und Anfangspassworte mit in das Wörterbuch integrieren.

]]>