Qbi's Weblog

Als ich mich im Januar entschloss, mir ein Blog zuzulegen, habe ich mich für Wordpress entschieden. Obwohl die Software in PHP geschrieben wurde und damit schon fast automatisch eine Sicherheitslücke ist, dachte ich, dass ich damit gut leben kann und die Software erfüllte meine Anforderungen. Doch zuletzt gab es hier zahlreiche sicherheitskritische Lücken. Diese wurden z.T. eher langsam behoben. Stefan Esser schreibt heute, dass die WP-Entwickler auch noch stillschweigend den Tarball geupdated haben. Aus meiner Sicht ist das komplett verantwortungslos, da man so die Leute, die sich ein (altes) Update zogen, komplett im Regen stehen lässt. Es wird also Zeit, mir hier eine bessere Software zuzulegen. Wenn ich zurück bin, nehme ich das in Anlauf. Bis dahin bin ich auch offen für eure Vorschläge.

Es ist nun fast ein halbes Jahr her, da schrieb ich in einem Beitrag hier über die aktuellen Schwächen von SHA-1. Heute berichtet Bruce Schneier, dass SHA-1 weiter in Bedrängnis kommt. Der Angriff wurde weiter verbessert und kann nun mit einer Komplexität von 2⁶³ vollzogen werden (verglichen mit 2⁸⁰ bei Brute Force). Zu diesen Ergebnissen existieren derzeit noch keine Veröffentlichungen und die Entdecker der Attacke erhielten kein Visum, um an der Crypto 2005 teilzunehmen. So konnte nur Adi Shamir dies auf dem Kongress vortragen. Allerdings wird erwartet, dass der Angriff demnächst noch weiter verbessert wird. Somit ist auch SHA-1 als faktisch nicht mehr benutzbar anzusehen. Tja, und welchen Hashalgorithmus greifen wir morgen an?