Kanibal schrieb:
Noch dazu ist das mit deiner "300€-Grafikkarte" so ne Sache. Ein einfach gehashtes, 8-stelliges md5-Passwort benötigt auf professioneller Hardware (CUDA-Racks)
Du weißt so gut wie ich, dass NVidia-Karten bei GPGPU nur die zweite Geige spielen. Eine R9 280X (Kostenfaktor 250-300€) frisst bei GPGPU-Aufgaben wie Hashcat wirklich JEDES Nvidia-Produkt zum Frühstück und stopft sich n paar Intel zum Nachtisch rein.
http://ht4u.net/reviews/2013/amd_radeon_r9_290x_hawaii_review/index45.php
50% mehr Leistung als ne doppelt so teure GTX Titan... Noch Fragen dazu? MD5 ist Schlachtvieh!
WhiteShark schrieb:
Habe ich Dateizugriff, so komme ich in jedem CMS an die Datenbank-Login-Daten ran.
Habe ich je was anderes behauptet?
Die Frage ist: Was kann ich mit diesem Zugriff tun? Ich kann, egal wo:
User löschen, User anlegen, Inhalte manipulieren, evtl. Schad-Software einklinken,...
Ich kann aber NICHT das Persönlichste lesen, was ein User (oder Admin/Redakteur) angibt: Sein Klartext-Passwort.
Du solltest, wenn du die Medien etwas verfolgt hast, inzwischen wissen, dass aller Warnungen zum Trotz die meisten User die selbe Kombination aus Username und PW für mehrere Dienste verwenden. Oftmals, und hier wirds ganz blutig, verwenden sie das PW für ihren Mailaccount gleich mit.
Man SOLLTE das nicht tun, aber es WIRD getan. Es ist einfach so. Und genau da setzt starkes Hashing an: Schütze den User vor eigener Dummheit.
Und wenn es so leicht wäre, bzw leichter als in anderen CMS, dann würden wir ständig von gehackten Wordpress-Installationen lesen.
Trotz der Verbreitung kommt sowas aber selten vor und wenn sind nur alte Versionen betroffen.
Selten? WP ist mit Abstand das am häufigsten angegriffene (und vor allem: erfolgreich angegriffene) System da draußen. Eine Google-Suche nach "wordpress security vulnerability" gibt nicht grundlos 3,3Mio Hits.
http://nakedsecurity.sophos.com/201...e-73-of-wordpress-sites-vulnerable-to-attack/
Darauf sei mal noch verwiesen. Da WP das (unverdient) führende "CMS" darstellt, locker die Hälfte der Seiten wirklich verwundbar sind und permanent automatisierte Angriffe laufen... zähl 2 und 2 zusammen.
Aber auch nur potentiell.
...
Das Theme entwickle ich ja selbst. Bei Extensions hat man im jedem CMS die gleiche Problematik.
Viele Leute KAUFEN ihr Theme, oder nehmen ein freies. Die wenigsten WP-Installationen haben wohl ein handgeklöppeltes Theme, dem man tatsächlich vertrauen kann.
Was die Extension-Problematik angeht: Bei WP ist sie besonders exorbitant, weil jeder Piesepampel Trivial-Extensions auf den Markt schmeißt. Das spielt auch in die SQL Injection - Geschichte mit rein.
http://www.checkmarx.com/white_papers/the-security-state-of-wordpress-top-50-plugins/ <- Da läuft es dir kalt den Rücken runter, oder?
Da halte ich mich lieber an Contao. Zwar KÖNNTE theoretisch jeder mal ne Extension ins Repo werfen, tatsächlich läuft es aber auf ein gutes Dutzend wirklich aktiver Entwickler/Firmen hinaus, deren Arbeit absolut Hand und Fuß hat.
Und was hat das nochmal mit der SQL Injection, im Hinblick auf die miese SQL-Implementierung in Wordpress und halbgewalkte Extension-Entwickler, zu tun?
Viele gute CMS bieten eine sehr robuste API. Man lernt sehr schnell, wie man sie einsetzt. Man hat z.B. eine "Input"-Klasse, die Get-, Post- und Request-Parameter ausliest, bereinigt und vollkommen schadfrei zurück gibt. Man hat dazu noch eine Datenbank-Klasse, die auf Prepared Statements setzt. Kombiniert man beides, was sehr leicht ist, hat man mit 0 Aufwand einen 100%-Schutz vor SQL Injection.
Ein kompletter Neustart ist nicht notwendig. Denn das würde heißen das die meisten aufgrund inkompatiblität bei der alten Version bleiben würden.
Blöd nur, dass andere CMS (Joomla, TYPO3, Contao) genau solche Neustarts häufig vornehmen. Sie pflegen das letzte LTS-Release noch eine Weile nachträglich mit kritischen Fixes, aber das neue LTS hat eine vollkommen überarbeitet API, die weitestgehend mit der alten inkompatibel ist.
Der Wechsel von Contao 2 auf 3 brachte z.B. so einen harten API-Schnitt mit sich, der neben einigen (oftmals nur temporären) Inkompatibilitäten mal eben locker 20-30% Performance-Gewinn und subjektiv 1000% Usability-Gewinn mit sich brachte.
Also bzgl Performance konnte ich nichts negatives feststellen.
Vergleich mal mit Contao 3.x, dir werden die Tränen kommen wenn du dann an die WP-Qualen zurück denkst. Contao 2.x war schon deutlich schneller als jedes WP-Release...
Das mit dem Memorylimit sehe ich auch nicht so tragisch.
...bis auf die zig hundert Einträge pro Stunde im Error.log, wenn der Server mit Suhosin läuft...
Wordpress ist Schund, den Mist sollte man seinem schlimmsten Feind nicht wünschen. Wenn ich die Wahl zwischen HIV und Wordpress hätte... HIV kann man inzwischen mit ner kleinen Chance heilen...