BETA

Big Brother ΚΑΙ το WordPress (?)

Εικόνα Maria

codigo-wordpress

Στο άρθρο αυτό θα δούμε τι συμβαίνει με τις αυτόματες ενημερώσεις που κάνει πλέον το WordPress. Και φυσικά, πάντα στο παρασκήνιο υπάρχει η NSA.
Κυκλοφόρησε λοιπόν η τελευταία και μεγαλύτερη έκδοση του WordPress με σημαντικές, είναι η αλήθεια, αναβαθμίσεις και μέσα σε λίγες μέρες ακολούθησε bugfix (διόρθωση σφαλμάτων), ανεβάζοντας τον αριθμό έκδοσης στην 3.7.1.
Μέχρι εδώ, όλα καλά και ωραία.
Αυτό, όμως, που κινεί το ενδιαφέρον με την εν λόγω έκδοση είναι ότι οι ενημερώσεις (τα updates) γίνονται αυτόματα˙ χωρίς να απαιτείται καμία υποβολή από τον διαχειριστή της ιστοσελίδας.
Δηλαδή, κάθε φορά που υπάρχει διαθέσιμη μια νέα έκδοση κάποιου plugin (πρόσθετου) που έχει να κάνει με την ασφάλεια, το WordPress το ενημερώνει από μόνο του. Το ίδιο συμβαίνει και αν υπάρξει κάποια καινούρια έστω και δευτερεύουσα έκδοση του WordPress.
Όλα αυτά ακούγονται ωραία και καλά εκτός από το γεγονός ότι, μερικές φορές, οι ενημερώσεις δημιουργούν προβλήματα. Τώρα, όσον αφορά ένα μικρό blog, και να «κατέβει» για μια ημέρα, λόγω μιας ενημέρωσης, ίσως δεν είναι και τόσο σημαντικό. (Άποψή μου˙ είναι και πολύ σημαντικό μάλιστα, μα ας μην το αναλύσουμε περαιτέρω για χάριν του άρθρου).
Δεν πρέπει να ξεχνάμε πως το WordPress, πλέον, δεν είναι μόνο για τους bloggers. Παρότι ξεκίνησε και έγινε γνωστό ως πλατφόρμα blogging, τώρα πια, είναι πολύ περισσότερα. Ως εκ τούτου, σκεφτείτε ότι, για τα μεγαλύτερα sites που τρέχουν το WordPress, το να είναι «κάτω» η σελίδα τους -έστω και προσωρινά- θα μπορούσε να έχει σοβαρές οικονομικές συνέπειες.

Ο Sean Michael Kerner ασχολήθηκε με το όλο θέμα σε άρθρο του στο eWeek:

Η τακτική των αυτόματων ενημερώσεων σε μια server-side τεχνολογία, όπως το WordPress, θα μπορούσε να είναι ακόμα και επικίνδυνη δεδομένου ότι, δυνητικά, θα μπορούσε να επηρεάσει τα αμέτρητα plug-ins ή την υποκείμενη τεχνολογία του site.
Ο Matt Bergin, σύμβουλος ασφαλείας της CORE Security, δήλωσε στο eWEEK ότι προκύπτουν δύο καίρια ζητήματα με τις αυτόματες ενημερώσεις:

Οι αυτόματες ενημερώσεις είναι ένα πολύ καλό και παλιό κόλπο που χρησιμοποιούσαμε προκειμένου να παρακολουθούμε την κίνηση του δικτύου, δημιουργώντας συνθήκες man-in-the-middle και, σε πραγματικό χρόνο, κατά τη διάρκεια των αυτόματων ενημερώσεων των Windows «φορτώναμε» malicious payloads.

Το δεύτερο ζήτημα που ανακύπτει είναι η σταθερότητα. Το να επιτρέπονται αυτόματες ενημερώσεις, ποτέ δεν ήταν και τόσο καλή ιδέα.

Ωστόσο,οι προγραμματιστές του WordPress, πιστεύουν ότι το σύστημα είναι σταθερό και ασφαλές.
Όπως έγραψε σε κάποιο blog ο Andrew Nacin, προγραμματιστής του WordPress:

Οι ιστοσελίδες που τρέχουν ήδη το WordPress 3.7 έχουν κάνει πάνω από 110.000 ενημερώσεις χωρίς ούτε ένα σοβαρό πρόβλημα καθώς, χάρη σε μια σειρά από μέτρα ελέγχου που έχουμε λάβει, οι ενημερώσεις είναι πολύ πιο αξιόπιστες.
Άλλωστε, αυτά που γίνονται αυτόματα όπως η ενημέρωση κάποιου plugin ασφαλείας ή κάποιας δευτερεύουσας έκδοσης του WordPress, συνεπάγονται απλά τη λήψη και αντιγραφή μερικών μόνο αρχείων.

Τα καλά νέα, είναι ότι, προς το παρόν, οι αυτόματες ενημερώσεις κάνουν update μόνο κάποιες διορθώσεις bugs. Για παράδειγμα, η τρέχουσα έκδοση 3.7.1 θα ενημερωθεί αυτόματα με την 3.7.2. Αλλά όταν βγει η 3.8.0, πιθανότατα να καταστήσει πολλά plugins ακατάλληλα για χρήση.
Επίσης, τα θέματα και τα plugins ενημερώνονται προαιρετικά μόνον, δηλαδή είναι opt-in.

Τα άσχημα νέα, είναι ότι παρ’ όλες τις γνώσεις τους, οι τύποι του WordPress δεν τα κατάφεραν (εδώ, σε κάμποσες δημοσιεύσεις, υπάρχει και ένα ερωτηματικό) να προσφέρουν έναν εύκολο τρόπο για να απενεργοποιείτε αυτήν τη λειτουργία.
Με λίγα λόγια, δεν υπάρχει κανένας τρόπος για να ενεργοποιήσετε τις αυτόματες ενημερώσεις μέσα από το πάνελ (dashboard). Μπορούν να απενεργοποιηθούν μόνο με την επεξεργασία των ρυθμίσεων των αρχείων και οι επιλογές που δίνονται δεν είναι και ιδιαίτερα σαφείς ως προς τι πρέπει να κάνετε. Και κανονικά, μη γελιόμαστε, θα έπρεπε να είναι απλούστατο να τις απενεργοποιήσει κάποιος.
Όπως λέει και το Foss Force -από όπου και το άρθρο- κατά τη γνώμη μας, αυτό δεν είναι καλό, δεδομένου ότι παίρνει τον έλεγχο από τον χρήστη, ιδίως όταν οι χρήστες αυτοί έχουν κάπως πιο περιορισμένες τεχνικές δεξιότητες.
Δεν θα είχαμε κανένα απολύτως πρόβλημα με αυτό το χαρακτηριστικό και ούτε και θα δημιουργούνταν θέμα, εάν δινόταν η δυνατότητα να απενεργοποιηθούν εύκολα οι αυτόματες ενημερώσεις μέσω του interface. Κάτι που, δυστυχώς, δεν έγινε.

Περισσότερες πληροφορίες, όσον αφορά την απεγκατάστασή τους, μπορείτε να βρείτε στην ιστοσελίδα του WordPress και στο άρθρο The definitive guide to disabling auto updates in WordPress 3.7.

Σίγουρα το θέμα, θα έχει συνέχεια˙ όπως βλέπει ο καθένας, συνέχεια βγαίνουν στον αέρα διάφορες τακτικές και μέθοδοι, οι οποίες όλες, έχουν ως τελικό αποτέλεσμα την παρακολούθηση των ανθρώπων.
Ποιοι λένε την αλήθεια, ποιοι έχουν υποκύψει, ίσως το μάθουμε σύντομα, ίσως όχι, μα σίγουρα οι αποκαλύψεις θα συνεχίζουν να έρχονται βροχή, καθώς είναι ολοφάνερο πως υπάρχουν αλληλοσυγκρουόμενα συμφέροντα...

  • Σχόλια

0 Comments:

Scroll to Top