Detta är inget nytt, men antagligen okänt för de flesta. WordPress avslöjar kommentatorers e-post, på samma sätt som Disqus, dvs genom att lämnat ut en MD5-summa för kommentatorns e-post. Våldförhärligande extremistgrupper kan alltså ta reda på vilka som skriver kommentarer på WordPress-bloggar.
WordPress använder tjänsten Gravatar för att visa en avatarbild intill kommentarer. För att göra detta MD5-summerar man e-postadressen, för att få fram ett unikt ID, som används som parameter hos Gravatar för att välja bild.
Med exakt samma attackvektor, dvs en MD5-summerad e-postdatabas, t ex utifrån de 150 miljoner stulna användaruppgifterna hos Adobe, kan man alltså lista ut vad för e-postadress som angivits vid kommentering på WordPress.
Vad som är ännu värre är att WordPress inte skickar ut något mail om “du har kommenterat på WordPress-bloggen X”, så man kan rent av skriva t ex [email protected] eller [email protected] som e-postadress utan problem. Fel individer kan alltså hängas ut för att kommentera på WordPressbloggar, eller utsättas för fysiska angrepp av extremister.
Gravatarbristen är gammal och känd. Det finns ingen som helst anledning att ange sin riktiga e-postadress vid kommentarer på en WordPressblogg, om du inte ändå framträder icke-anonymt. WordPress accepterar annars att du skriver [email protected] eller motsvarande för en kommentar.
Notera dock att det sparas en cookie med din e-postadress på WordPressbloggar och administratören kan se vad du angav för e-postadress föregående gång.
Det räcker att högerklicka på bildikonen bredvid en WordPresskommentar för att se MD5-summan som en parameter till Gravataranropet. En annan intressant sak är att Gravatar kan spåra alla som besöker en WordPressblogg, och får besöksstatistik för alla WordPressbloggar, åtminstone på sidor med kommentarer, oavsett om du kommenterar eller ej – din webläsare anropar Gravatar när den visar upp kommentarerna.
Dock, när Robert Aschberg står och skriker hysteriskt på dig om att du näthatat och trollat på Internet, och kör upp kamera och mikrofon i ansiktet på dig, så kan du lugnt påtala att det har du inte alls gjort och vem som helst kan skriva in vilken e-postadress som helst på en WordPressblogg.
23 kommentarer
"Dock, när Robert Aschberg står och skriker hysteriskt på dig om att du näthatat och trollat på Internet, och kör upp kamera och mikrofon i ansiktet på dig, så kan du lugnt påtala att det har du inte alls gjort och vem som helst kan skriva in vilken e-postadress som helst på en WordPressblogg."
Detta kanske funkar mindre bra ifall någon AFA-aktivist kommer med ett basebollträ…
Nej, men då kommer däremot hagelbrakaren väl till pass. Diplomatins mästare.
Jag kan inte påstå att jag gillade det där avslutande, fetmarkerade stycket. Det låter som att en typisk Cornuläsare kan bli anklagad för näthat av Aschberg. Man skall nog ha skrivit ganska många eller grova saker innan man riskerar att råka ut för något sådant. Och har man skrivit en massa grova saker är det inte så självklart att man förtjänar att få veta hur man ljuger sig ur situationen.
Har man skrivit "en massa grova saker" så förtjänar man antingen:
1. Ett åtal i god ordning för hets mot folkgrupp, och då kan polisen själva plocka fram din identitet med sina verktyg etc.
2. Förtjänar man inte åtal, så har man åtminstone som privatperson rätten till privatlivets helgd, vilket omfattar korrespondens och liknande, enligt FN:s deklaration om mänskliga rättigheter.
Att man av nåt slags godtycke (beroende på politisk åsikt) ska kunna hamna i ett mellanläge av de två ovanstående, där man inte åtalas men ändå hamnar i en offentlig folkdomstol, är inte värdigt en modern demokrati, vill jag mena.
Är man politiker kan det väl däremot finnas ett visst intresse av vilka politiska åsikter man sitter och uttrycker när man tror att ingen håller en för ansvarig – man kan ju dra sig till minnes Janne Josefssons valstugereportage.
@Kuckeliku & Ben Dover
Tesen var dock att man inte srkivit en massa grova saker utan det är någon annan som har gjort det och varit förståndig nog att skriva in någon annans mailadress. Det ligge nog då ganska nära till hands att man tar någon man inte gillar och som är någorlunda känd.
Det har du ju rätt i! Cornu förutsätter att ingen av hans läsare gör sig skyldiga till sådant här utan att de är vita som snö. Dock bortser han från att han också har läsare som Baron von Keff och en del andra som säkert kan uttrycka sig lite olämpligt ibland.
Om någon ringer på min dörr och trycker upp en mikrofon i ansiktet på mig med den onda avsikten att förtala mig och försöka få mig sparkad från mitt jobb – den personen betraktar jag som en fiende. Kan inte garantera att jag i en sådan situation skulle uppträda civiliserat. Skulle tro att det finns flera som skulle reagera på det sättet. Robert Aschberg utsätter sig för en risk.
Hagelgeväret trumfar baseballträet – det fick moppeligisterna i Rödeby erfara…
http://sv.wikipedia.org/wiki/Skotten_i_R%C3%B6deby
@Kuckeliku
Enligt vad vi erfarit från yttrandefrihetens motståndare så är det en förutsättning för att vi skall ånjuta våra rättigheter, men dessvärre har vi ju Baron von Keff som gör att yttrandefrihetens motståndare tycker att vi får skylla oss själva ifall vi blir uthängda. Det är ju så hemska saker BvK skriver…
Jag är med på att man inte får vara så förfärligt kinkig i fråga om vad folk säger. Och att det är domstolen som gäller om man brutit mot lagar. Att media skall straffa folk de inte gillar med uthängning är oacceptabelt. Media skall inte vara någon domstol och straffinrättning. Det borde vara uppenbart för alla.
Det går ju att förbjuda gravatar.com att köra script och ändå kunna sköta blogg och kommentarer. Fast någon olägenhet får man väl av det, tror jag.
Den viktigaste lärdomen vi kan ta med oss från "Disqusgate" är i alla fall att Expressen et al av aningslöshet eller illvilja inte har några som helst problem att hjälpa ett fåtal extremister att radikalisera och polarisera debatten ytterligare.
Dock är väl inte IP-adresserna som loggas på sajten synliga utåt, så om man har ett anonymt mailkonto med ett dumt namn så lär inte Aschberg kunna spåra upp personen i fråga. Däremot loggas ju allting någonstans så om man gjort något riktigt allvarligt som förtjänar FRA, SÄPO eller NSAs uppmärksamhet så går det alltid i efterhand att åtminstone se vilket hushåll som en viss kommentar kom ifrån. Förmodligen håller google et al även reda på webbläsarens signatur, så har du varit inne som sig själv på google, FB, eller liknande tidigare med den webbläsaren så är man troligen hyfsat identifierbar även om man använder sitt google-alias för att kommentera. De som har tillgång till alla loggar kan jämföra dem och få fram personen i fråga. Men i google/FB/etc-fallet är det väl bara NSA som kan det, och möjligen FRA om de utbyter info med NSA.
Det där med identifiering via webbläsarens signatur är något som folk ofta inte tänker på. EFF har ett verktyg för att testa hur unik ens webbläsare är. Varje dator jag har kört det på har haft en unik signatur (fast då kör jag lite ovanligare operativsystem också).
Ja precis, eller så ser de åtminstone ip adressen till min grannes olåsta router..
@hafnium
Intressant, på paddan User Agent och Safari ca 1/12500, Google Chrome 1/80000, Mercury 1/230000. Borde räcka för identifikation i närmaste grannskapet iaf.
Tur man inte skivit på dessa sidor heller, vet inte om man så lugnt klarar att påtala för en skrikande Aschberg någonting. Men vad skivs på nätet efter virre en fredagskväll, en massa trollande självklart men det är inte alltid den åsikt skribenten har heller. Det är ju alltid underhållande att reta de ”goda” då och då. Om vi nu vill leva i ett stasisamhälle så har expressen slagit in på rätt väg.
Är inte Aschberg ganska kortväxt i verkligheten?
Men han har baseballträ!
Aschbergs naturliga attribut är väl en stor käft, förmodligen någon slags kompensation för andra tillkortakommanden. Mycket snack och lite verkstad…
Oppti i senaste stasirullarna jag fick från R-gruppen står det att du är 1,95 lång väger 98kg, är flintis och bor på djursholm. Dessutom att du är en potentiell SD kollaboratör. Med tanke på att lille Aschberg annonserar att han kommer med basebollträ så tycker jag du ska gå på knock direkt.
Media har här trätt över en linje som jag inte trodde var möjlig efter den debatt som FRA medförde.
Jag ser framför mig att AFA gruppen blir åtalad för registret och att Expressen får betala för användandet av det.
Slutpixlat, verkar vara en ny blogg som producerar egna satirbilder på (SD). Bokmärk!