WordPress 6.2.1 kam mit fünf Sicherheitspatches daher, wovon eines Shortcodes in Full Site Editing Themes crasht, bzw. nur noch den Shortcode anzeigt. Das hat in dieser Woche für einige Aufregung gesorgt. Außerdem gibt es einen Vorschlag ältere Standardthemes von WordPress künftig nicht mehr weiter zu pflegen. Außerdem haben wir wieder jede Menge anderer Themen mit dabei.
- WordPress Core
- Plugins/Themes/Blöcke
- Security
- Community
- Business
- Mit Recht im Podcast
- WP Sessel
- Bernhard Kau: Verschachtelte Funktionen in PHP und warum du sie vermeiden solltest!
- Jonas Tietgen – So fügst du den TikTok Pixel in WordPress ein [DSGVO konform]
- Jonas Tietgen – Der WordPress Cookie-Plugin-Guide – das musst du wissen
- Pixelbar – SEO Schema: So hilft es Ihrem Google-Ranking
- Zé Fontainhas – Premium-Plugins und kostenlose Übersetzungen: Warum nur?
- Bernhard Kau – Fehlende Sidebar-Widgets nach der Migration – was war passiert?
- Torsten Landsiedel – Kein SPF – keine E-Mails!
- Hans-Gerd Gerhards – Verschwundene Meta Box z. B. von YOAST unter dem Beitrag wieder aktivieren
- MarketPress – Rechtliche Anforderungen an einen WooCommerce-Shop
- Podcast: Carole Olinger und Lucas Radke über den CloudFest-Hackathon
- Anstehende Events
Termine:
Die Termine nennen wir euch in der Sendung. Ansonsten findet ihr deutschsprachige Meetups hier oder in eurem WordPress Dashboard. Alle weltweiten WordCamps findet ihr auf wordcamp.org.
Hi,
Habe grade die aktuelle Folge gehört – endlich mal „zeitnah“. Überrascht hat mich Udos Ansage, dass Let’s Encrypt Zertifikate tendenziell ein Datenschutzproblem sind, weil die Browser zum Check so eines Zertifikats mit einem Server in den USA kommunizieren – und das als Vergleich mit Datenschutzgefahren durch Analytics…
Stimmt denn das? Bin grade etwas unsicher, aber ich dachte, der Server schickt seinen Pub-Key, zusammen mit der Zertifikatskette und über die kann der Browser mit seiner internen oder der Systemliste das Zertifikat verifizieren, dann wird ein Sessionzertifikat ausgehandelt. Da passiert doch kein Check mit einem Drittserver bspw. von Let‘s Encrypt.
Doch selbst wenn… okay, da wird die IP-Adresse des Users an einen Server geschickt, vermutlich mit einem Zertifikat oder eines Hash desselben. Die IP-Adresse ist ein personenbezogenes Datum, damit ist das dsgvo relevant. Aber ob man das dem Seitenbetreiber zuordnen kann?
Im Gegensatz dazu ist das Geschäftsmodell von Google personalisierte Werbung. Das ist Profilbildung, die ist unter DSGVO _immer_ einwilligungspflichtig. Google und vergleichbare Riesen wie Facebook können durch Ihre Macht Nutzer über unzählige Sites hinweg verfolgen. Durch die Einbindung irgendeines Google-Tools erhält Google immer einen kompletten HTTP-Request eines Users, nicht nur die IP-Adresse. Die URL, der Fingerprint, der Referrer. Dazu kommt, das Google durch den Suchindex genaue Kenntnis über die besuchte Seite hat. Das nenne ich mal Profilbildung. Da ist doch ein erheblicher Unterschied bezüglich des Datenschutzes.
Ob CDNs in gewissen Fällen unersetzlich sind, weiss ich nicht. Da sehe ich aber auch das Problem, dass da personenbezogene Daten über viele Seiten hinweg verarbeitet werden. Aber das mit der Profilbildung mag ich da nicht erkennen. Meinen Kunden rate ich aber von der Verwendung von CDN, vor allem aus USA, ab, da die Dienste tendenziell einwilligungspflichtig sind und das wohl nicht funktioniert. Das funktioniert bei Google-Diensten (abgesehen von ReCaptcha) immerhin so weit. Nicht ohne Probleme, Maps werden oft ohne Alternative eingebunden, was dem Gedanken der DSGVO nicht wirklich entspricht und Analytics macht kaum Sinn, wenn man nur die Einwilliger misst 😅 Aber gut, wenn‘s schee macht…
Gruß
Jochen
Hallo Jochen,
hier leider nur eine kurze Antwort, da ich unterwegs bin: Das von dir beschriebene Szenario trifft nur zu, wenn der Hoster OCSP („Zertifikat-Stapling“) anbietet. Das ist aber unter deutschen Hostern immer noch die Ausnahme. In allen anderen Fällen prüft der Browser das Zertifikat durch eine Anfrage bei der CA. Und diese Nachfrage wird letztendlich durch die Website verursacht, eben weil Sie kein OCSP anbietet.
Das ist natürlich nicht so schlimm wie viele andere Sammelszenarien, aber wir haben auch keine Garantie, dass das immer so unproblematisch bleibt. Und ein derzeit unerlaubter Datentransfer in die USA ist es allemal.
Aber wie auch immer: ich will hier keine schlafenden Hunde wecken, sondern nur dafür sensibilisieren, dass es noch viele „unentdeckte“ Baustellen gibt und sich kein Website-Betreiber zu sicher sein sollte.