... newer stories
Mittwoch, 3. September 2008
Neuer Server, neue Regeln
dirk olbertz, 22:51h
Der Umzug gestern kann insgesamt als erfolgreich beschrieben werden. Der Server ist schneller (DualCore CPU), hat mehr RAM (4GB statt 1GB) und eine größere Festplatte. Das war ja auch der ursprüngliche Gedanke vor dem Umzug: Blogger.de auch in extremeren Situationen performant zu halten.
Wer plötzliche eine blaue Leiste oben in seinem Blog hat, liest bitte hier, wo die herkommet und wie man sie entfernt.
Wegen eines Sicherheitsproblems vor einigen Wochen, wurde damals als Sofortmaßnahme die Neuregistrierung von Benutzern untersagt. Nicht, weil darin das Problem bestand, aber weil wir potentiell eher neuen Mitgliedern auf der Plattform zugetraut hätten etwas Böses zu tun, als den alteingesessenen Bloggern hier.
Seit dem Umzug ist auch diese Beschränkung gefallen. Nicht, weil Blogger.de nun das sicherste System der Welt ist, aber weil wir zumindest ein paar Maßnahmen ergriffen haben, es den Skriptkiddies da draußen um einiges schwerer zu machen.
Dazu gehört nun auch, dass nicht mehr alle HTML-Tags in Beiträgen und Kommentaren verwendet werden dürfen. In erster Linie soll damit verhindert werden, dass sogenannte aktive Elemente auf einem Blog auf Blogger.de so einfach über einen Beitrag oder einen Kommentar erstellt werden können.
Die Templates sind nach wie vor komplett unbeschränkt, weil bei Blogger.de aber auch viele Blogs von mehr als nur einer Person betrieben werden und teilweise jeder Beiträge verfassen darf, haben wir uns aber entschieden, nicht nur für Kommentare, sondern auch für Beiträge komplett die Verwendung von Script-Tags zu unterbinden.
Im Klartext: kein JavaScript mehr in Beiträgen und Kommentaren. YouTube Videos können über das embed-Tag eingebettet werden, darüberhinaus war uns jetzt kein Blog vor Augen, wo diese Einschränkung wirklich zu argen Problemen führen würde.
Da JavaScript über diverse Attribute in HTML-Tags eingebettet werden kann, wurde ein Filter eingesetzt, der ursprünglich für twooday.net entwickelt wurde und sehr fein von uns eingestellt werden kann. Wir werden einzelne Tags, die euch fehlen, nach kurzem Check bezüglich der Sicherheit dann freigeben. So wie heute Mittag mit dem strike-Tag zum Durchstreichen von Textstellen. Das war uns einfach in der Standardeinstellung untergegangen.
Die Filter sind ein Workaround um ein Problem, dass durch die hier verwendete Antville-Version entsteht. Sobald wir auf eine zukünftige Antville-Version umziehen, die diese Sicherheitsprobleme besser in den Griff bekommt, werden wir die jetzigen Filter weiter zurücknehmen.
Wir sitzen da selbst ein bisschen zwischen allen Stühlen, weil man auf der einen Seite nicht alles verhindern kann und andererseits aber auch gar nicht möchte - was wiederum dazu führt, dass einzelne Blogger hier tatsächlich in Zukunft Opfer von diversen "Angriffen" werden können.
Um die Wahrscheinlichkeit eines solchen Angriffs noch weiter zu verringern, hätten wir Blogger.de noch zusätzlich einschränken müssen. Wir haben uns aber für die Möglichkeiten bei Blogger.de entschieden und nehmen dafür das Risiko billigend in Kauf.
Was evtl. fehlende Tags und andere Probleme nach dem Umzug angeht, könnt ihr dies hier in den Kommentaren gerne mitteilen. Und ich hoffe, dass der Großbloggbaumeister vielleicht noch ein paar Zeilen zu den neuen Möglichkeiten verliert, die das Update auf Helma 1.6.2 während dieses Umzuges mit sich bringt.
Wer plötzliche eine blaue Leiste oben in seinem Blog hat, liest bitte hier, wo die herkommet und wie man sie entfernt.
Wegen eines Sicherheitsproblems vor einigen Wochen, wurde damals als Sofortmaßnahme die Neuregistrierung von Benutzern untersagt. Nicht, weil darin das Problem bestand, aber weil wir potentiell eher neuen Mitgliedern auf der Plattform zugetraut hätten etwas Böses zu tun, als den alteingesessenen Bloggern hier.
Seit dem Umzug ist auch diese Beschränkung gefallen. Nicht, weil Blogger.de nun das sicherste System der Welt ist, aber weil wir zumindest ein paar Maßnahmen ergriffen haben, es den Skriptkiddies da draußen um einiges schwerer zu machen.
Dazu gehört nun auch, dass nicht mehr alle HTML-Tags in Beiträgen und Kommentaren verwendet werden dürfen. In erster Linie soll damit verhindert werden, dass sogenannte aktive Elemente auf einem Blog auf Blogger.de so einfach über einen Beitrag oder einen Kommentar erstellt werden können.
Die Templates sind nach wie vor komplett unbeschränkt, weil bei Blogger.de aber auch viele Blogs von mehr als nur einer Person betrieben werden und teilweise jeder Beiträge verfassen darf, haben wir uns aber entschieden, nicht nur für Kommentare, sondern auch für Beiträge komplett die Verwendung von Script-Tags zu unterbinden.
Im Klartext: kein JavaScript mehr in Beiträgen und Kommentaren. YouTube Videos können über das embed-Tag eingebettet werden, darüberhinaus war uns jetzt kein Blog vor Augen, wo diese Einschränkung wirklich zu argen Problemen führen würde.
Da JavaScript über diverse Attribute in HTML-Tags eingebettet werden kann, wurde ein Filter eingesetzt, der ursprünglich für twooday.net entwickelt wurde und sehr fein von uns eingestellt werden kann. Wir werden einzelne Tags, die euch fehlen, nach kurzem Check bezüglich der Sicherheit dann freigeben. So wie heute Mittag mit dem strike-Tag zum Durchstreichen von Textstellen. Das war uns einfach in der Standardeinstellung untergegangen.
Die Filter sind ein Workaround um ein Problem, dass durch die hier verwendete Antville-Version entsteht. Sobald wir auf eine zukünftige Antville-Version umziehen, die diese Sicherheitsprobleme besser in den Griff bekommt, werden wir die jetzigen Filter weiter zurücknehmen.
Wir sitzen da selbst ein bisschen zwischen allen Stühlen, weil man auf der einen Seite nicht alles verhindern kann und andererseits aber auch gar nicht möchte - was wiederum dazu führt, dass einzelne Blogger hier tatsächlich in Zukunft Opfer von diversen "Angriffen" werden können.
Um die Wahrscheinlichkeit eines solchen Angriffs noch weiter zu verringern, hätten wir Blogger.de noch zusätzlich einschränken müssen. Wir haben uns aber für die Möglichkeiten bei Blogger.de entschieden und nehmen dafür das Risiko billigend in Kauf.
Was evtl. fehlende Tags und andere Probleme nach dem Umzug angeht, könnt ihr dies hier in den Kommentaren gerne mitteilen. Und ich hoffe, dass der Großbloggbaumeister vielleicht noch ein paar Zeilen zu den neuen Möglichkeiten verliert, die das Update auf Helma 1.6.2 während dieses Umzuges mit sich bringt.
... link (0 Kommentare) ... comment
... older stories
