dyingeyes weblog: das persönliche Weblog von Boris Stumpf aus Frankfurt am Main

Ausgehend von einem lesenswerten (englischsprachigen) Artikel ›WordPress Username Enumeration‹ in BlogSecurity ein paar kurze Anmerkungen zu Verwendung von Benutzernamen in WordPress – wobei diese Ratschläge auch für andere Blogsysteme oder CMS geeignet sein sollten.

Die Aufgabenstellung besteht grundsätzlich darin, es einem potenziellen Angreifer, der sich mit einer sogenannten Brute-Force-Methode oder mit Hilfe von Wörterbuchattacken Zugang zu einem solchen System verschaffen will, so schwer wie möglich zu machen, die hierfür notwendigen Elemente (Benutzernamen und Passwörter) zu ermitteln.
(more…)

Sacht mal, gehen seit einiger Zeit die %!/?#*+§4!-Gravatare wieder nicht richtig? Ich sehen meinen seit einigen Wochen wieder einmal nirgendwo erscheinen, auch bei mir selbst nicht. In anderen Blogs sehe ich z.T. aber anderer Leute Gravatare angezeigt.

Was ist da wieder los?

Auch im Gravatar-Blog lese ich nichts zu irgendwelchen Problemen oder Neuerungen. Mein Account nebst E-Mailadresse und Bildchen ist noch auf dem Server vorhanden.

Vielleicht sollte ich die ganze Geschichte mangels Zuverlässigkeit einfach endgültig abschaffen?

Jeder kennt sie, keiner mag sie: Die Fehlermeldung 404, die wir von einem Webserver vorgesetzt bekommen, falls wir ein Dokument aufgerufen haben, das es nicht gibt. Sei es, dass es die Datei wirklich nicht (mehr) gibt, sei es, dass wir einen falschen Pfad zu ihr angegeben haben. Wie auch immer, der Webserver teilt uns das auf eine mehr oder weniger hilfreiche Art und Weise mit.

Die Blogparade »Zeig mir deine 404-Error-Seite« des Webmeister-Blog fordert uns auf, unsere 404-Fehlerseiten zu zeigen.

Das ist nicht nur Blogparaden-Spielerei, die Sache hat einen ernsthaften Kern: Es geht vorrangig um die Anwenderfreundlichkeit unserer Webauftritte, dass wir unsere Besucher bei Fehlermeldungen nicht mit schroffen Standard-Hinweisen alleine stehen lassen wollen.

Im Falle WordPress

WordPress z.B. bietet uns Bloggern die Möglichkeit, auf ziemlich einfache Weise eine besucherfreundliche Fehler-404-Meldung zu erzeugen: Im Verzeichnis der Standard-Themes befindet sich eine Datei »404.php«, die man sich zur Vorlage nehmen kann, eine aussagekräftige und hilfreiche Fehlermeldung zu gestalten. Diese Fehlermeldung sollte den suchenden Leser nicht nur über den schlichten Sachverhalt informieren, sondern ihm auch einen Weg aufzeigen, wie er sich auf unserer Website weiter sinnvoll bewegen kann. Wir wollen ihn als Leser ja nicht gleich verlieren, nur weil er möglicherweise den Pfad falsch eingegeben hat, einem kaputten Link gefolgt ist oder einfach ein Dokument gesucht hat, dass es inzwischen nicht mehr gibt.

Und allgemein?

Aber auch ganz allgemein und unabhängig von spezieller Blog-Software können wir als Website-Betreiber über die Konfiguration unseres Webservers Einfluss darauf nehmen, welche Meldungen dieser dem Besucher im Fehlerfall präsentiert. In der Konfiguration des Apache-Webservers z.B. steht uns hierfür die Direktive »ErrorDocument« zur Verfügung, die wir in der allgemeinen Konfigurationsdatei oder in Website-spezifischen .htaccess-Dateien einsetzen können.

Mit Hilfe dieser Direktive können wir unmittelbar eine anzuzeigende Fehlermeldung definieren oder aber auf ein HTML-Dokument verweisen, welches im Fehlerfall angezeigt wird – wir können dieses Dokument natürlich auch gestalterisch in unseren Webauftritt einbinden.

Wir haben es selbst in der Hand, unsere Besucher und Leser im Fehlerfall nicht alleine im Regen stehen zu lassen. Wir können sie freundlich informieren und ihnen einen sinnvollen Ausweg aus der Sackgasse anbieten.

PS: Wer übrigens meinen Link auf meine Fehlerseite oben überlesen hat, kann sich gerne noch einmal an dieser Stelle 404en lassen…