WordPress 2.6 erhält nicht nur zusätzliche Features. Nein, es werden auch Features wieder abgebaut, die bisher enthalten waren.

Eines davon ist der XML-RPC-Server, der für den Anschluss eines WordPress-Blogs an Desktop-Clients wie ecto, Blog Desk, Zoundry Raven, MarsEdit oder Windows Live Writer und das Posting von del.icio.us-Links oder Flickr-Fotos zuständig war.

Über diesen Zugangspunkt kann der Inhalt eines Blogs sehr weitreichend verändert werden, und das auch noch auf eine gut automatisierbare Weise.

script kiddies hatten in der Vergangenheit viel Spaß damit: Sobald wieder eine Sicherheitslücke im XML-RPC-Server aufgetaucht war, bombardierten die pöhsen Cracker jede nur ansatzweise nach WordPress riechende Website und versuchten, den Administrator-Account zu knacken oder Links in den Footer des Themes einzuschmuggeln.

In WordPress 2.6 gibt’s das nicht mehr – aber nicht, weil Automattic den XML-RPC-Server endlich wasserdicht programmiert hat. Naiver Ansatz…

Nein, Automattic legt die Verantwortung für die Sicherheit dieser Administrationsschnittstelle in die Hände jedes einzelnen Blogbetreibers. Und das geht so:

Ab WP 2.6 wird die Funktion zwar noch mitgeliefert, aber nur optional auf ausdrücklichen Wunsch des Administrators auch aktiviert.

Das lässt nur eine Interpretation zu:

  • Du als Blogadministrator erhältst eine Funktion, die als sich in der Vergangenheit mehrfach als Sicherheitsrisiko erwiesen hat.
  • Diese Funktion ist auch in WordPress 2.6 nicht wasserdicht, deswegen wird sie in inaktivem Zustand ausgeliefert.
  • Wenn du diese Funktion brauchst, aktiviere sie bitte ganz auf eigenes Risiko.
  • Ob du dieses Risiko auch beurteilen kannst, steht in den Sternen.
  • Jedweder Exploit dieser Funktion wird jedenfalls wesentlich weniger Blogs betreffen als in den Vorversionen. Automattic steht daher unter geringerem öffentlichen Druck und der Drang zu Fehlerkorrekturen wird damit wesentlich sinken.

Daniel Jalkut, Entwickler des bei Mac-Jüngern beliebten Desktop-Blogclients MarsEdit, meint in den Kommentaren zum Ticket:

What a bummer. Terrible news for desktop clients. I hope the security enhancing tradeoff is very high because this will be a support burden on developers who are supporting users of desktop clients.

It’s also worth noting that this will add friction to the process of using a remote client with WordPress, and therefore make other systems such as Blogger potentially more attractive to such users.

Ich denke noch über andere Erklärungsversuche für diesen Schritt nach, aber mir fehlt entweder die Fantasie oder das technische Verständnis:

  • Die Deaktivierung des XML-RPC-Servers bringt keine Performancevorteile.
  • Desktop-Blogger sind keine Nischengruppe.
  • Daily Links aus del.icio.us und Posts aus flickr sind auch in Zeiten von Sidebar-Widgets durchaus verbreitet.

Ich halte daher den Schluss für zulässig, dass Automattic vor der Herausforderung, den XML-RPC-Server gegen bösartige Angriffe abzudichten, kapituliert hat.

20. Juni 2008, 20:50 − Abgelegt in

Kommentare

Ich halte daher den Schluss für zulässig, dass Automattic vor der Herausforderung, den XML-RPC-Server gegen bösartige Angriffe abzudichten, kapituliert hat.

schon möglich, ähnlich geht es ja Spamschutz-Entwicklern.

Frank · 20. Juni 2008, 21:45 · #

Auch wenn es keine kleine Benutzergruppe ist, muss doch das Interesse der Mehrheit an Sicherheit gewahrt bleiben. Es wäre Schade, wenn aufgrund einer einzigen Programmkomponente die Weiterentwicklung des gesamten Programms verzögert wird.

Ich benutze zur Verwaltung eines privaten Blogs ebenfalls Blogdesk, kann die Bedenken der Entwickler aber sehr gut nachvollziehen und werde in der neuen Version auf den online Texteditor umsteigen. Gerade durch die Performance-Verbesserung sollte das nicht so schlimm sein.

Mike · 21. Juni 2008, 12:14 · #

Ich verstehe nicht, was daran eine Kapitulation sein soll. Ist doch viel mehr: Momentan ist es nicht ganz sicher, wers nichts braucht solls deaktivieren. Ist doch ganz logisch.

— Viktor · 27. Juni 2008, 10:51 · #

Ich kann icht beurteilen, was gut, was schlecht, was notwendig, was überflüssig, was böse, was nett ist.

Aber vorteilhaft daran finde ich, dass es in der neuen Version die Möglichkeit gibt, Funktionen ein- oder auszuschalten; was bislang nicht ging und von daher ist es eine Bereicherung.
Hersteller von Plugins oder Applikationen werden Wege finden, die Nutzer darauf hinzuweisen, was sie wo in WordPress aktivieren müssen oder auch einen Hinweis geben, wenn die Schnittstelle nicht erreichbar ist.

Kopfschüttler · 1. Juli 2008, 13:37 · #

Kommentarfunktion für diesen Artikel geschlossen.