Einigermaßen sicherheitsbewusste Internetnutzer und Diensteanbieter wissen schon lange, dass Login-Daten vor Zugriffen durch Dritte geschützt werden müssen.

Viele Portale nutzen daher beim Login-Prozess eine gesicherte Verbindung, bei der die Kommunikation vom Server bis zum Browser verschlüsselt wird:

Hat der Benutzer sich korrekt ausgewiesen, erhält sein Browser i.d.R. über die gesicherte Verbindung einen Cookie (sozusagen eine gültige Eintrittskarte zur Website). Danach kann die Seite über eine normale, unverschlüsselte Verbindung weitergenutzt werden, da Username und Passwort nicht mehr übertragen werden müssen:

In falscher Sicherheit gewogen

Alles gut? Leider nein, denn diese weit verbreitete Praxis lässt eines außer Acht: So lange die aktive Sitzung besteht, „zeigt“ der Browser bei jedem Seitenaufruf dem Server die Cookie-Daten. Bei unverschlüsseltem Datenverkehr ist es einem Bösewicht ein leichtes, diese Cookie-Informationen abzufangen. So lange die Besuchersitzung nicht beendet wurde, kann der Cookie – wie eine gültige Eintrittskarte – dazu verwendet werden, um unter dem Namen eines anderen Benutzers Schindluder zu treiben. (mehr …)

Wie die WordPress-Entwickler kürzlich bekanntgaben, wird die im Dezember erwartete Version 3.1 der populären Blogsoftware nicht mehr auf Webservern genutzt werden können, die nur PHP 4 unterstützen.

Für Version 3.2, die im ersten Halbjahr 2011 erscheinen soll, soll die Messlatte für die Mindestanforderungen zudem weiter auf PHP-Version 5.2 angehoben werden. Gleichzeitig wird bei diesem Schritt auch der Support für die mittlerweile in die Jahre gekommene Version 4 des Datenbanksystems MySQL gestrichen, als niedrigste Versionsnummer wird dann 5.0.15 zum Einsatz kommen können.

Dieser Schritt kommt keineswegs übereilt: Auch die Software-Versionen der neuen Mindestanforderungen haben schon sechs (PHP) bzw. fünf (MySQL) Jahre auf dem Buckel und werden von ihren Herstellern schon nicht mehr supportet – eine kleine Ewigkeit im von Sicherheitslücken gebeutelten Internet. Website-Betreiber sollten sich frühzeitig darüber Informieren, ob ihr Hosting-Anbieter die neuen Anforderungen unterstützt.