WP 2.3 & Sicherheit / Datenschutz

Ohne das jetzt werden zu wollen...
Aber es sollte doch problemlos und ohne großen Aufwand möglich sein, die Update-Funktion durch eine eigene (in einem Plugin) zu ersetzen so dass nur eine (oder keine) NonSense-URL übermittelt wird.

Aber nur wenn diese Daten auf wp.org geloggt und missbraucht werden.

 

Eine Möglichkeit der Abhilfe (die allerdings ein Herumpfuschen im Source ist) habe ich hier beschrieben:

Lumières dans la nuit » Blog Archiv » Datenschutzproblem in WordPress 2.3

 

Unklar ist mir übrigens noch, wo und wann die Funktion überhaupt aufgerufen wird. Einen direkten Aufruf von wp_update_plugins konnte ich nirgends entdecken und auch das add_action( 'load-plugins.php', 'wp_update_plugins' ) bleibt ohne Wirkung, denn es gibt kein dazu passendes do_action. Auch eine 'load-plugins.php' scheint es nicht zu geben.

Gruß
Ingo

 

/wp-admin/includes/update.php

 

???
Ja da wird sie deklariert, aber wo wird sie aufgerufen? Kann ich ehrlich gesagt nicht finden (ich beziehe mich auf RC1)

Gruß
Ingo

 

Achso Sorry. Hab nur schnell zwischen Tür und Angel in den Beitrag geschaut.
Und kann dir leider bei der Frage nicht weiterhelfen.

Ich wollte das ja mal genauer unter die Lupe nehmen hab's aber nichmal geschafft den Traffic bei der Kommunkation mit api.wordpress.org zu sniffen geschweige denn durch ein remove_action oder add_action (auf eine eigene Funktion) die Funktion zu killen.
Eventull hat mir bei letzterem auch der Browsercache einen Streich gespielt.

 

Ja ist ja auch schon spät

Ich behaupte mal, die Funktion wird noch gar nicht aufgerufen, aber es ist ja auch nur die RC1. In der finalen 2.3 wird das sicher dann mit einem passenden add_action do_action an der vorgesehenen Stelle eingeklinkt.

Gruß
Ingo

 

Doch, sie wird schon aufgerufen :???:
Ich habe aus Spaß mal Akismet um 0.0.2 Versionen älter gemacht und schon kam die Meldung. Ich nutze die RC1-Build vom 21.9..

 

Ich habe jetzt nicht alles gelesen. Werde ich nach holen.

Was mir grundsätzlich nicht gefällt sind die im Tellerand eingespielten Informationen. Das möchte ich abschalten! (Habe ich da was übersehen?)

Die hier erwähnten neuen oben aufgeführten Funktionen sind sicherlich sinnvoll aber auch hier sollte gelten An- Ausschaltbar durch den Nutzer.

 

Stimmt, hab ich auch grad gemacht. Das find ich ja dann fast noch beunruhigender, oder ich habe das im Quelltext nur übersehen. Irgendwo muß die Funktion doch aufgerufen werden, entweder direkt oder über ein do_action !?

Gruß
Ingo

 

Ja stimmt, hatte es auch grad gefunden
Dann müßte man es aber mit remove_action irgendwie wegbekommen...
Na mal sehen, das ist dann was für mein 123 Tools-Plugin.

Gruß
Ingo

 

"Anonym" Up-to-Date bleiben, so gehts:
Schnurpsel » Wordpress 2.3 - Anonym up-to-date bleiben

Ganz ohne in den Coredateien rumzufummeln, alles sauber mit filter- und action-Funktionen

Gruß
Ingo

 

Habe grad noch ein interessantes Ticket entdeckt:
#5065 (Unify User-Agent strings) - WordPress Trac - Trac
In die Funktion muß, falls sie denn wirklich kommt, aber unbedingt ein Filter-Hook rein

Gruß
Ingo

 

Na falls WP nicht pünktlich (also in den nächsten 10 Stunden) erscheint, dann wissen wir ja warum *



Abgesehen von den noch offenen 60 Tickets.

 

Den Tellerrand kannst du zB mit diesem Plugin aufräumen und praktisch alles abschalten:
Wordpress Dashboard Editor » Anthology of Ideas

Was das Update-Feature betrifft, könnte ich mir vorstellen, dass es in Deutschland datenschutzrechtlich tatsächlich ein Problem ist, da hierdurch in die informationelle Selbstbestimmungsfreiheit eingegriffen wird, wenn es keine integrierte Option gibt, dieses Feature abzustellen. Ein Hinweis alleine auf einem Forum dürfte auch nicht wirklich ausreichen, um sicherzustellen, dass Nutzer der Software sich darüber bewusst sind, welche ihrer Daten übermittelt werden, um dann entscheiden zu können, ob sie die Software unter diesen Bedingungen überhaupt nutzen wollen.

Allerdings habe ich mich nicht näher eingelesen. Mir ist es grundsätzlich gleichgültig, solange es Plugins gibt, mit denen ich alles abschalten kann. Es gab ja bereits vorher den Update-Monitor, der standardmäßig in den WP-Packs integriert war. Hier bestand aber die Wahlmöglichkeit, dieses Plugin nicht zu nutzen, was ich auch nicht getan habe.

Um Streitigkeiten zu vermeiden, denke ich, dass es besser wäre, in naher Zukunft diese Wahlmöglichkeit wieder herzustellen.

Ich bin zB vor längerer Zeit von MovableType weggegangen, als ich feststellen musste, dass dort die Möglichkeit der Registration von Lesern und zusätzlichen Autoren etc nur über einen anderen Server bestand, obwohl User-Accounts offensichtlich auch auf dem eigenen Server eingerichtet und verwaltet werden können. Diese unnötige Datensammelei verschreckt auch den einen oder anderen. Ich denke, dass MovableType damals insbesondere wegen solchen Dingen ein Stück an Konkurrenzfähigkeit eingebüßt hat, und ich würde hoffen, dass Wordpress nicht auf Dauer einen ähnlichen Fehler begeht.