sg-webseite AT lists.piratenpartei.de

Betreff: Mailingliste der SG Webseite

Listenarchiv

Re: [Sg-webseite] HTTPS-Spendenseite

From: Jan Schejbal <jan.mailinglisten AT googlemail.com>
To: sg-webseite AT lists.piratenpartei.de
Subject: Re: [Sg-webseite] HTTPS-Spendenseite
Date: Sun, 10 Jun 2012 21:37:48 +0200
List-archive: <https://service.piratenpartei.de/pipermail/sg-webseite>
List-id: Mailingliste der SG Webseite <sg-webseite.lists.piratenpartei.de>

Am 2012-06-10 20:56, schrieb Bernd:
> Daniel, es sieht weiterhin schlecht aus.
>
> Chrome warnt, siehe screenshot.

Scheint der Twittermist zu sein. Sucht in
http://www.piratenpartei.de/wp-content/themes/piratenkleider_1_2/js/script.js
nach "http://twitter.com/statuses/user_timeline"; und macht ein https aus
dem http, oder schmeißt den Kram raus.

Hinweis, so wie es da ist, bekommt Twitter die IP von jedem unserer
Besucher, und kann jederzeit unsere Seite(n) XSSen. Wenn wir das nicht
wollen, brächten wir einen minütlichen Cronjob-Einzeiler auf dem Server,
was regelmäßig die JSON-Datei
https://twitter.com/statuses/user_timeline.json?screen_name=piratenpartei&count=6
runterlädt, irgendwo auf unseren Server packt, und von wo wir es dann
sauber mit JQuery holen.

> Ist das so schwer, oder gibt es keine Lösung und müssen wir die
> Spendenseite offline nehmen?

Nein, wir müssen die Spendenseite nicht offline nehmen, nur weil
Warnungen kommen. "Keine Spendenseite" bringt sicher weniger als
"Spendenseite mit Warnung".

Ja, ein aktiver Angreifer der gezielt unsere Spendenseite angreifen will
und volle Kontrolle über die Internetverbindung des Opfers hat könnte
die Kontodaten abgreifen, indem er ein böses Skript von Twitter
unterschiebt. Ein solcher aktiver Angreifer könnte aber genauso den
HTTPS-Spendenseitenlink auf plain-HTTP umbiegen und dann seinen Spaß
haben. Die kaputte Twitteranbindung erhöht also nicht das Risiko.

Gruß
Jan

Re: [Sg-webseite] HTTPS-Spendenseite, (fortgesetzt)

Archiv bereitgestellt durch MHonArc 2.6.19.