Sicherheitslücke (Improper Access Control) ?

Sicherheitslücke (Improper Access Control) auf meinem Blog? Bin ich dadurch hackbar? Was es damit auf sich hat, versuch ich hier zu erklären.

Heute muss ich mal ein Thema ansprechen, das weder was mit Wolle noch mit Stoffen zu tun hat und alles andere als angenehm ist. Trotzdem halte ich es für wichtig, es anzusprechen, einfach um andere WordPress-Blogger aufzuklären.

Wie alles begann

Am 08.02.2021 wurde ich ein wenig überrascht und verunsichert. Ich habe ca. 15 eMails mit dem gleichen Inhalt erhalten. Diese gingen zwar an unterschiedliche eMail-Adressen meiner Domain, doch in meinem Webmaster-Postfach laufen alle eMails zusammen, zu denen kein separates Postfach erstellt ist. So geht grundsätzlich nichts verloren.

Jedenfalls dachte ich zuerst an Spam. 15 mal die identische, englisch-sprachige eMail, das kann doch nichts seriöses sein. Ich wollte die eMails schon als Spam markieren, hab mir dann aber doch mal eine durchgelesen. Spam kann auch durchaus erheiternd sein. War er in diesem Fall aber nicht. Da stand was von einer Sicherheitslücke auf meinem Blog. Über einen Link gelangte ich auf die Seite von openbugbounty.org.

eMail von openbugbounty.org

eMail von openbugbounty.org

Dort erfuhr ich, dass es sich bei der Sicherheitslücke um “Improper Access Control” handelt. Ein User namens Cyber_India hat ihn gemeldet. Will ich mehr wissen, muss ich den Melder kontaktieren.

Wer oder was ist openbugbounty.org

Soweit ich das mit meinen Englisch-Kenntnissen richtig verstanden habe, geht es bei openbugbounty.org darum, dass jeder Sicherheitsexperte dort Bugs auf jeder beliebigen Internetseite melden kann. Über openbugbounty.org wird dann der Webseitenbetreiber darüber informiert und kann mit dem Melder Kontakt aufnehmen.

In der Regel gibt der Melder dem Webseitenbetreiber dann weitere Informationen zum Bug und wie dieser behoben werden kann. Der Webseitenbetreiber kann dem Melder dann ein Dankeschön zukommen lassen. In der Regel wird es wohl auf eine Zahlung per Paypal hinauslaufen. Aber auch Merchandise, wie im Falle von heise.de, ist wohl denkbar.

Aber auch wenn der Betreiber der Seite vielleicht nur gute Absichten hat, kann die Plattform auch sehr leicht mißbraucht werden, wie dieser Fall zeigt.

Da mein Englisch aber keineswegs verhandlungssicher ist, habe ich erstmal abgewartet und mich, wie man sieht, erstmal ein wenig schlau gemacht.

Sicherheitslücke (Improper Access Control), was ist das?

Zugegeben, ich dachte im ersten Moment, dass der Zugang zu meinem Blog, über den ich mich einloggen muss, um Beiträge zu schreiben, wohl nicht sicher ist und damit angreifbar sprich hackbar ist. Meine Gedanken rotierten. Könnte sich da jemand ungewollt Zugang verschaffen? Sollte ich den Blog erstmal vom Netz nehmen? Immerhin wird auf openbugbounty.org damit gedroht, dass der Bug nach 30 Tagen öffentlich gemacht würde. Aber was würde jemand mit diesem Blog schon anfangen wollen? Ich habe keine Kundendaten, die man stehlen könnte. Bis auf einige Spam-Kommentare und einige wenige Beiträge in Vorbereitung, ist alles öffentlich einsehbar. Ein Hacker würde sich doch nicht die Mühe machen, hier einzubrechen?

Die Lösung

Die Lösung brachte dann der nette Schreiber von diesem Beitrag auf ekiwi.de. Er hat Cyber_India kontaktiert und die Lösung erhalten, die er mit mir geteilt hat.

Scheinbar gibt es eine, wohl veraltete, Schnittstelle in WordPress, die früher für verschiedenste Anwendungen benutzt wurde, aber später abgelöst wurde. Damit WordPress aber abwärtskompatibel bleibt, ist diese Schnittstelle noch aktiv. Es gibt aber verschiedene Wege, die Schnittstelle zu deaktivieren.

Wie dies genau funktioniert, steht in diesem Beitrag auf kinsta.com.

Ob man die Schnittstelle aber so einfach deaktiveren sollte, muss man natürlich selbst prüfen. In der Regel wird sie aber nicht mehr benötigt. Wer hier aber Bedenken hat, braucht meiner Meinung nach jetzt aber keine Panik haben. Ohne ein gültiges Passwort kommt wohl trotzdem niemand auf euren Blog. Das Passwort sollte allerdings ein sicheres sein. Ich verwende für meine Passwörter gerne den Passwortgenerator von lastpass.

Fazit

Für mich hat diese Meldung bei openbugbounty.org einen faden Beigeschmack. Natürlich habe ich mir mal angesehen, was dieser Cyber_India sonst noch für Sicherheitslücken gemeldet hat. Auffällig finde ich, dass er seit über einer Woche jeden Tag bestimmt 500 oder mehr Webseiten meldet, die scheinbar alle das gleiche “Problem” haben. Und dass es so viele Webseiten gibt, bei denen diese Schnittstelle noch aktiviert ist, ist ja auch nachvollziehbar. Trotzdem kann ich mich des Verdachts nicht erwehren, dass dieser Cyber_India hier versucht, aus unbedarften Blog-Betreibern Geld rauszuholen. Er scheint sich zwar an die Regeln der Plattform zu halten, dass er für die Lösung des Bugs kein Geld oder ähnliches fordert, doch kann ich mir schon vorstellen, dass er darauf aus ist, dass man ihm ein kleines Dankeschön spendet. Und dass es überall auch schwarze Schafe gibt, habe ich ja oben auch schon gezeigt.

Also, seit vorsichtig, wenn ihr von dieser Seite eine Sicherheitslücke gemeldet bekommt. Macht euch erstmal im Internet schlau. Ich kann mir nicht vorstellen, dass die Entwickler von WordPress eine echte Sicherheitslücke lange drin lassen, wenn diese bekannt ist. Also immer schön alles auf dem aktuellen Stand halten.

Zum Abschluss habe ich noch ein Video eines Anwalts zu diesem Thema gefunden. Auch wenn das Video von 2017 ist, dürfte sich die rechtliche Lage nicht stark geändert haben. Aber natürlich gilt das nur innerhalb Deutschlands. Wie das in anderen Ländern aussieht und wie das mit der grenzübergreifenden Strafverfolgung aussieht, kann ich natürlich nicht einschätzen, da ich kein Anwalt bin.

Drachenfels-Tuch aus Frida Fuchs-Garnen

Das Drachenfels-Tuch ist eine Anleitung von Melanie Berg und ist ein wunderschönes Dreieckstuch, das wirklich einfach zu stricken ist.

Ich habe meine Variante aus diesen wunderschönen Garnen von Frida Fuchs gestrickt:

Wolle des Drachenfels-Tuchs

Wolle des Drachenfels-Tuchs

Und so sah der erste Anstrick aus:

Drachenfels-Tuch angestrickt

Drachenfels-Tuch angestrickt

Angefangen habe ich das Tuch im Februar 2019 und fertiggestellt habe ich es bereits im Dezember 2019. Ich hatte das Tuch immer auf Dienstreisen mit. Daher habe ich so viele Monate gebraucht. Denn eigentlich strickt es sich recht schnell. Es wird kraus rechts gestrickt. Darin bin ich eigentlich sehr schnell, aber wenn man nur so 1-2 Abende in der Woche daran strickt, dauert es natürlich länger.

Leider fehlt mir immer noch ein gutes Gesamtbild. Daher hier noch ein Bild der Abschlusskante:

Abschlusskante des Drachenfels-Tuchs

Abschlusskante des Drachenfels-Tuchs

Dank Corona bin ich irgendwie nicht dazu gekommen, das Tuch zu baden und zu spannen. Vorher macht ein Gesamtbild meiner Meinung nach auch keinen Sinn. Ich wollte euch dieses Projekt aber nicht länger vorenthalten. Denn auch wenn ich in 2020 relativ wenig gestrickt habe, war ich doch nicht ganz untätig und das möchte ich auch so langsam hier im Blog aufarbeiten.

Alle Infos und mehr Bilder zu diesem Projekt gibt es wie immer auch auf ravelry.

Und hier noch der direkte Link zur Anleitung “Drachenfels-Tuch” von Melanie Berg.

Raglan-Von-Oben in Blautönen nach einer eigenen Idee

Was macht man, wenn man zuviele Knäuel aus dem Opal-Abo hat? Richtig, man strickt nicht nur Socken daraus, sondern auch Pullover. Aus einer Idee ist dann dieser Raglan-Von-Oben, kurz RVO genannt, entstanden.

Wolle für den RVO

Wolle für den RVO

Ich habe mir also aus den ganzen, gesammelten Abo-Knäuel alle rausgesucht, die meine Lieblingsfarbe Blau enthalten haben. Daraus habe ich dann die rausgesucht, mit einem möglichst langen Farbverlauf bzw. einem Farbverlauf, der auch bei längen Runden gut zur Geltung kommt. Dazu noch eine Kontrastfarbe, in meinem Fall schwarz, und es konnte losgehen.

Zuerst habe ich die Knäuel gewickelt. Ich mag sie so lieber verstricken. Weniger gekuller und ein besserer Überblick, wieviel Wolle noch auf dem Knäuel ist.

gewickelte Wolle für den RVO

gewickelte Wolle für den RVO

Dann noch ein Muster ausgedacht, wie ich diese vier Farben verbinden kann mit dem Schwarz und los ging es.

der Raglan-Von-Oben angestrickt

RVO angestrickt

Gestrickt habe ich an diesem Raglan-Von-Oben hauptsächlich auf Dienstreisen. Begonnen habe ich damit im November 2018. Bis zu den Ärmeln ging es auch recht flott. Dann wurde er aber zu unhandlich, um ihn immer im Koffer mitzunehmen. Und ich habe ihn gut ein Jahr nach Beginn dann zu Hause fertig gestrickt.

der fertige Raglan-Von-Oben aus blauen Knäuel aus dem Opal-Abo

RVO fertig

Ausgeführt habe ich ihn natürlich schon längst. Unter anderem bei der BonnKreativ. ein tolles Lob habe ich dafür auch schon bekommen.

Hier noch ein kleiner Steckbrief:
  • Verbrauchte Wolle:
    • Schwarz: 138g
    • Farbe 1: 34g
    • Farbe 2: 58g
    • Farbe 3: 57g
    • Farbe 4: 52g
  • gestrickt mit Nadelstärke: 3.0
  • alle Infos und weitere Bilder gibt es auf Ravelry

Mir persönlich gefällt der Pullover so gut, dass ich jetzt wieder farblich passende Knäuel aus dem Opal-Abo sammle und dann einen ähnlichen Pullover stricke. Vielleicht dann aus nur 3 verschiedenen Farben?

Wer mir auf Instagram folgt, hat ja schon einen weiteren Raglan-Von-Oben aus Rot/Lila-farbenen Abo-Knäuel gesehen. Ich habe aber noch so viele weitere Ideen, wie man diesen wirklich einfachen RVO-Schnitt mit bunten Opal-Abo-Knäuel kombinieren kann. Es wird also bestimmt bald noch weitere RVOs zu sehen geben.

Bericht zur BonnKreativ 2020

Am 05.01.2020 war die erste Kreativmesse in diesem Jahr für mich und zwar die BonnKreativ.

Dieses Jahr fand die BonnKreativ nicht mehr in der Stadthalle in Bad Godesberg, sondern im Telekom Dome statt. An der Parkplatzsituation hat sich dadurch leider wenig geändert. Für eine Halle, die angeblich 6.000 Besucher fassen kann, ist der Parkplatz ein Armutzeugnis. Sorry, wenn ich das so direkt sage, aber hier fehlt ein Parkhaus oder eine Tiefgarage. Für die Messe mussten die Parkplätze von Aldi, dm und Edeka nebenan mitbenutzt werden. Parken kostete 3 Euro, was ich ok finde.

Die Halle selbst war von der Größe her super. Es gab reichlich Sitzplätze auf der Tribühne, Auch wenn es nur einfache Klappsitze waren. Es gab einen gut abgetrennter Cateringbereich, sodass man nicht mit dem Essen in der Hand direkt neben einem Stoffstand essen musste. Das Essen selbst habe ich jedoch nicht getestet, da wir nicht so lange dort waren.

Verbesserungswürdig find ich auch die Lichtverhältnisse. An einigen Ständen war es extrem dunkel. Wenn ich Wolle oder Stoffe aussuche, muss ich diese doch auch sehen können. Viele Stände hatten ihre eigenen Lampen angebracht, doch wer nicht auf einen dunkeln Standplatz vorbereitet war, stand leider im Dunkeln.

Mein Einkauf auf Bonnkreativ 2020

Mein Einkauf auf der Bonnkreativ 2020

So, aber jetzt noch ein paar Worte zu meiner Ausbeute, die ihr auf dem Bild oben sehen könnt. Ich hatte mir extra eine Liste gemacht mit Projekten, die ich in nächster Zeit stricken möchte und wollte nur danach kaufen. Was fast funktioniert hat.

Die Bobbel sind vom Bobbel-Bienchen. Einmal ein Bobbel in weiß-blau für eine Tunika, und zwei Bobbel in einem kräftigen Farbverlauf, die einmal ein Pullover werden wollen. Dann zwei Stränge Pinta gekauft am Stand von der Sockenmanufaktur aus denen ein Tuch werden soll. Und ein einzelner Strang Drachenwolle den es dort am Stand der Sockenmanufaktur auch gab. Dieser Strang stand jetzt nicht ganz auf meiner Liste muss ich gestehen. Aber ich hab zwei ähnliche Stränge bereits von anderen Messen. Zusammen mit denen soll er mal ein Tuch werden.

Die zusätzlichen Zettel hat mir eine Freundin zugesteckt, mit der ich unter anderem dort war 🙂

Mehr Informationen zur Veranstaltung findet ihr auch auf der offiziellen Messeseite hier.

Zick-Zack-Schal nach einer Anleitung von Christy Kamm

Der Zick-Zack-Schal ist eine Anleitung von Christy Kamm. Dabei werden zwei Knäuel abwechselnd gestrickt, sodass dieser hübsche Effekt entsteht. Mir erschien das Garn Fame Trend von Marks & Kattens irgendwie passend. Der Farbverlauf ist schön lang.

Gekauft habe ich das Garn im Januar 2018 auf der BonnKreativ. Leider weiß ich nicht mehr, welcher Stand das war.

Die Anleitung ist wirklich einfach, also durchaus auch für Anfänger geeignet. Nur die Zählerei hat mich etwas genervt. Daher habe ich doch recht lange gebraucht, bis der Schal nun endlich fertig war. Von der Größe war es eigentlich ein gutes Mitnahmeprojekt für Stricktreffen oder ähnliches. Durch die Zählerei hätte ich aber keiner Unterhaltung folgen können. Und so blieb mich nur, immer wieder zu Hause mal dran zu stricken.

Und das waren die beiden Knäuel:

Fame Trend von Marks & Kattens

Fame Trend von Marks & Kattens

Auch wenn die Wolle auf den ersten Blick total kratzig aussieht, sie ist es nicht. Ich kann sie sehr gut am Hals tragen und sie ist wirklich angenehm warm.

Und so sieht der fertige Schal aus. Zumindest ein Teil davon. Den ganzen Schal auf ein Bild zu bekommen ist etwas schwierig.

Zick-Zack-Schal

Zick-Zack-Schal

Noch mehr Bilder findet ihr in meinem Projekt auf Ravelry oder natürlich auch auf meinem Profil bei Instagram.