WordPress-Subscription mit Problemen
Jeder guckt ja nun bei seiner Seite in die Referrer. Klar, woher kommen die Besucher. Ich hatte heute einen Besucher, der offensichtlich in der Subscription-Liste von WordPress auf einen Link zu meinem Blog geklickt hat. Diesen Referrer konnte ich in meiner WebHits-Statistik (ja, ich bin ein Nostalgiker – zahle seit über 10 Jahren für den Dienst!) sehen und habe ihn natürlich sofort aufgerufen.
Ich war sehr überrascht, dass ich die Liste mit den Abonnements eines anderen vor mir sah. In dem Referrer-Link war ein Key, der offensichtlich zur Authentifizierung reichte. Es ist an sich schon ein Unding, dass der Authkey mit übertragen wird, dass er auch noch den Zugriff erlaubt ist schon ziemlich fahrlässig. Bin doch sehr erstaunt.
Richtig doll ist aber, dass man sogar in die Settings gelangt und dort die Vorgaben wie Mailadresse oder Art der Zustellung ändern kann. Sieht für mich wie ein dicker Bug aus.
Natürlich habe ich denjenigen informiert und an den Einstellungen nicht gedreht. Inzwischen ist womöglich auch WordPress bereits in Kenntnis gesetzt. Bis dahin kann der Rat eigentlich nur sein, nicht in der Liste mit den Abos auf einen Link zu klicken! Vielleicht habe ich aber auch nur was falsch verstanden.
Ich schreibe hier über Fahrrad(politik), Politik an sich, Technik, unsere Familie und alles was mich sonst so bewegt.
Dieses Sicherheits- und Datenschutzproblem wurde behoben.
Links zu Blogposts werden nicht mehr direkt gesetzt, sondern über href.li umgeleitet, welches zum WordPress.com-Betreiber Automattic gehört und durch die Umleitung den Referer entfernt.
Außerdem wird nur noch verschlüsseltes HTTPS statt HTTP verwendet, um Mitschnüffeln der Daten zu verhindern.