FANDOM


  • Hallo allerseits,

    am Wochenende traten in einigen Wikia-Communitys Sicherheitsprobleme auf. Es wurde zwar keinem Wikia direkt Schaden hinzugefügt, doch ein fieser Troll hat einige Zeit sein Unwesen getrieben.

    Wir wissen, dass einige Benutzerkonten kompromittiert wurden. Es handelt sich nur um eine geringe Zahl und betrifft nur die Besucher der betroffenen Wikias; diese Communitys wurden bereits direkt darüber informiert. Solltest du dennoch Sicherheitsbedenken haben, dann raten wir dir, dein Passwort zu ändern, um auf Nummer sicher zu gehen. Solltest du dein altes Passwort auch auf anderen Seiten verwenden, schlagen wir dir vor, es auch dort zu ändern. (Hinweis: Du solltest grundsätzlich nie das gleiche Passwort auf unterschiedlichen Internetseiten einsetzen.)

    Wir haben umgehend einige Vorkehrungen getroffen, damit eure Wikias und Benutzerkonten sicher sind. Dazu gehört die Abschaltung von benutzerdefiniertem JavaScript auf den allermeisten Communitys. Übernacht und auch die kommenden Tage über werden weitere Vorkehrungen getroffen, um die Sicherheit auf ganz Wikia weiterhin zu gewährleisten.

    Eine Bitte: In der Wikia-Community gibt es haufenweise schlaue Leute, die diverse Ideen darüber haben, was vorgefallen sein könnte und was getan werden sollte. Wir bitten euch vorerst von wilden Spekulationen und geratenen Erklärungen abzusehen, damit wir in Ruhe die Situation analysieren und daran arbeiten können. Wir werden euch definitiv auf dem laufenden Halten, sei es mit einem Blog-Beitrag, hier im Forum oder anderweitig.

    Danke an alle und wir melden uns so bald wie möglich wieder!

      Lade Editor…
    • Hi Bosso,

      kann es sein, dass das normale JS und CSS auch abgeschaltet wurde. Würde bei der Lage ja Sinn machen, aber ich wollte es mit Sicherheit wissen.

      LG, Rain (talk)

        Lade Editor…
    • Endlich wird da was unternommen

        Lade Editor…
    • Ich stimme dir zu, Rain, ich habe das gerade im Anne Shirley Wiki entdeckt.

        Lade Editor…
    • Dragon Rainbow sagte:
      Hi Bosso,

      kann es sein, dass das normale JS und CSS auch abgeschaltet wurde. Würde bei der Lage ja Sinn machen, aber ich wollte es mit Sicherheit wissen.

      LG, Rain (talk)


      Mit "benutzerdefiniert" meine ich sowohl das lokale, als auch das benutzerspezifische JavaScript. Sprich sämtliche von Benutzern angelegten Skripte. CSS ist nur betroffen, sollte es via verbatim-Tags eingefügt sein, die ebenfalls deaktiviert wurden, um keinen Umweg zur Ausführung von JS zu liefern.

      Die üblichen CSS-Seiten (Wikia.css, Common.css und Monobook.css) funktionieren weiterhin und sind keine Sicherheitslücke.

        Lade Editor…
    • Oh, ein Troll ist also daran Schuld. Dann wünsche ich euch viel Erfolg!

        Lade Editor…
    • @Ben Braden: Der Troll war gestern Abend aktiv und ist meines Wissens erfolgreich bekämpft worden. Vermutlich möchte Wikia "nur" weitere Angriffe verhindern.

        Lade Editor…
    • Bei uns im MarioWiki läuft das ganze JS und CSS noch.

        Lade Editor…
    • Tut es nicht Gameheld, die Navigation sieht wieder normal aus. ;)

        Lade Editor…
    • Ich bin heilfroh, dass bei uns im Wiki nichts passiert ist. JS haben wir nicht

        Lade Editor…
    • Dragon Rainbow sagte:
      Tut es nicht Gameheld, die Navigation sieht wieder normal aus. ;)

      Echt? Bei mir nämlich nicht.

        Lade Editor…
    • Leere mal deinen Cache Gameheld, dann solltest du die Änderung sehen.

        Lade Editor…
    • Dragon Rainbow
      Dragon Rainbow hat diese Antwort entfernt. Grund:
      Kommt gleich was offizielles
      18:54, 10. Aug. 2015
      Diese Antwort wurde entfernt
    • Stimmt, im Anne Shirley Wiki geht es jetzt wieder.

        Lade Editor…
    • Keine Veränderung, nur das Twitter Widget funktioniert nicht.

        Lade Editor…
    • Eine Bitte: In der Wikia-Community gibt es haufenweise schlaue Leute, die diverse Ideen darüber haben, was vorgefallen sein könnte und was getan werden sollte. Wir bitten euch vorerst von wilden Spekulationen und geratenen Erklärungen abzusehen, damit wir in Ruhe die Situation analysieren und daran arbeiten können. Hehe! Schöner Satz! :-) Willkommen in meiner Welt ;-)

        Lade Editor…
    • Ich verstehe die Sicherheitsbedenken (und hatte selbst schon häufig angemerkt, dass vorallem JS und VERBATIM problematisch sein können).

      Jetzt habe ich jedoch gerade eine VERBATIM-CSS-Lösung gefunden, mit der es möglich war für die beiden Mobilansichten (App und Browser) style-mäßig etwas zu individualisieren. Besteht vielleicht die Möglichkeit, dass man etwas ähnliches von Wikia-Seite anbietet, wie "Wikia.css" oder "Common.css" nur halt für die beiden Mobilen-Skins? Siehe z.B. hier: Diskussionsfaden:58896.

      Das ist jedoch nicht alles. Auch unser FB- und Twitter-Widget läuft auf Verbatim. Gibt es dafür eine andere Lösung? Siehe hier: Hilfe:Social_Media

        Lade Editor…
    • Klap Trap sagte:
      Ich stimme dir zu, Rain, ich habe das gerade im Anne Shirley Wiki entdeckt.


      Hallo KlapTrap,

      was hast du dort entdeckt?

        Lade Editor…
    • @ElBosso

      Das hat jetzt aber nichts mit diesen merkwürdigen japanischen PopUp-Menus etc. zu tun, oder? Das ist jetzt was anderes, wenn ich das richtig verstehe.

        Lade Editor…
    • Alethea12 sagte:

      Klap Trap sagte:
      Ich stimme dir zu, Rain, ich habe das gerade im Anne Shirley Wiki entdeckt.


      Hallo KlapTrap,

      was hast du dort entdeckt?

      Dass das normale CSS nicht funktioniert hat, aber jetzt funktioniert es wieder.

        Lade Editor…
    • @ Klap Trap

      Ach, das meintest du. :)

        Lade Editor…
    • Alethea12 sagte:
      @ElBosso

      Das hat jetzt aber nichts mit diesen merkwürdigen japanischen PopUp-Menus etc. zu tun, oder? Das ist jetzt was anderes, wenn ich das richtig verstehe.

      Ja. Die japanische Systemnachricht war harmlos und sollte seit gestern auch nicht mehr auftauchen.

        Lade Editor…
    • Ach, ok. Da bin ich beruhigt. Du hattest das ja schon mal geschrieben, aber das war noch vor diesem "Troll". Danke für die schnelle Antwort. :)

        Lade Editor…
    • Sorry, aber ich muss jetzt mal ganz blöd fragen (damit gehöre ich wohl nicht zu den oben genannten schlauen Leuten^^):

      Was genau ist denn los? Ich lese hier was von Troll und Sicherheitsbedenken, aber ich verstehe den Zusammenhang nicht. Kann mir das jemand freundlicherweise erklären? :)

        Lade Editor…
    • Es wurden Benutzer ausgeloggt und irgendwie über JS ihre Passwörter geklaut, deswegen ist JS auch deaktiviert worden. Details zur Technik kenne ich nicht und brauche ich auch nicht.

        Lade Editor…
    • Oh! Und das Problem wurde erkannt, und man ist an einer Lösung dran?

      Dann ist es Zeit, an dieser Stelle mal ein Lob an das Wikia-Team auszusprechen, dass es so schnell (ich denke doch, dass es schnell war) reagiert hat. Einen großen Daumen hoch von mir 👍.

        Lade Editor…
    • Vielen Dank! 20M61 im Moment haben wir keine schnelle Lösung. Das ist alles nur vorübergehend. Wir halten euch auf dem Laufenden.

        Lade Editor…
    • Hallo Leute,

      Mein Kollege hat vor 30 Minuten ein Update im EN-Forum gemacht. Ich übersetze mal: Später heute Abend machen wir eine Änderung, die die dringendsten Sicherheitsbedenken mildert und JavaScript und Verbatim wieder erlaubt.

      Diese Änderung wird den MediaWiki Namenraum in den Lese-Modus setzen und das Bearbeiten ausschließen, außer dem Basic CSS, (MediaWiki:Common.css, MediaWiki:Monobook.css & MediaWiki:Wikia.css) das bearbeitet werden kann. JavaScript wird wieder funktionieren, allerdings auch nur im Lese-Modus.

      Dies ist keine permanente Lösung. Es wird diskutiert über die Strategie und wie wir den heutigen Zwischenfall als Gelegenheit benutzen können um unsere Seite sicherer zu machen, inklusive der Anpassungen, die unsere Communitys gedeihen lassen.

      Wir haben Fortschritte in der Planung gemacht und müssen nun den Plan konkretisieren. Wir werden euch weitere Updates geben und Einsicht in das Geschehen. Wir bitten aber um ein paar Tage Geduld um die längerfristigen Lösungen und Pläne zu kommunizieren. Wir machen später noch ein Update um zu bestätigen, dass das Java-Script läuft und dann später diese Woche gibt es dann ein Update mit den Plänen für die Zukunft.

        Lade Editor…
    • Hallo Andrea,

      das heißt dann, dass alles im MediaWiki-Namensraum inkl. JavaScript - in den Versionen vor dem Hack - demnächst wieder laufen wird. Die Scripte werden aber vorerst nicht mehr editierbar sein und es können auch keine neuen Scripte in diesem Namensraum erstellt werden, ausgenommen ist Basic CSS, das funktioniert wie bisher.

      Wie sieht es mit MediaWiki:Wikia.js aus?

      Edit: Überlesen: "JavaScript wird wieder funktionieren, allerdings auch nur im Lese-Modus."

      Viel Erfolg übrigens bei der Lösungssuche. :)

        Lade Editor…
    • Hallo ForestFairy,

      ForestFairy sagte:
      Diese Änderung wird den MediaWiki Namenraum in den Lese-Modus setzen und das Bearbeiten ausschließen, außer  
      dem Basic CSS, (MediaWiki:Common.css, MediaWiki:Monobook.css & MediaWiki:Wikia.css) das bearbeitet werden 
      kann. JavaScript wird wieder funktionieren, allerdings auch nur im Lese-Modus. 
      Dies ist keine permanente Lösung. Es wird diskutiert über die Strategie und wie wir den heutigen Zwischenfall 
      als Gelegenheit benutzen können um unsere Seite sicherer zu machen, inklusive der Anpassungen, die unsere 
      Communitys  gedeihen lassen.
      

      Auweia. VroniPlag Wiki lebt von den JavaScript, die wir gebastelt haben, teilweise um Funktionalität anzubieten (Einfärbung, Barcode), teilweise, um Fehler in Wikia zu beheben (eine Uhr, die den Cache gleichzeitig löscht, damit Änderungen sichtbar sind). Wir brauchen JavaScript und CSS so schnell es geht wieder, und wir brauchen Schreib-Zugriff. Admins in ein Wikia müssen den JavaScript editieren können, aber keiner von draussen.

      Ich hoffe sehr, dass Ihr das wieder im Griff bekommt. Gibt es keine Möglichkeit, unsere Site (de.vroniplag.wikia.com) wenigstens jetzt auf read-only JavaScript zu setzen? Es läuft ja gar nichts ohne JS bei uns :)

        Lade Editor…
    • Dragon Rainbow
      Dragon Rainbow hat diese Antwort entfernt. Grund:
      Hat doch nichts mit dem Thema zu tun
      08:50, 11. Aug. 2015
      Diese Antwort wurde entfernt
    • Guten Morgen! Wir arbeiten immer noch an der Freigabe von Custom JavaScript und Verbatim. Über den Tag verteilt, haben wir auch das Ziel, die MediaWiki Namenraum Bearbeitung zu re-aktivieren, besonders das CSS und die lokale Navigation. Ich gebe euch die Updates, sobald ich sie habe. Danke für euer Verständnis und die Geduld.

        Lade Editor…
    • ElBosso sagte:

      Dragon Rainbow sagte:
      Hi Bosso,

      kann es sein, dass das normale JS und CSS auch abgeschaltet wurde. Würde bei der Lage ja Sinn machen, aber ich wollte es mit Sicherheit wissen.

      LG, Rain (talk)


      Mit "benutzerdefiniert" meine ich sowohl das lokale, als auch das benutzerspezifische JavaScript. Sprich sämtliche von Benutzern angelegten Skripte. CSS ist nur betroffen, sollte es via verbatim-Tags eingefügt sein, die ebenfalls deaktiviert wurden, um keinen Umweg zur Ausführung von JS zu liefern.

      Die üblichen CSS-Seiten (Wikia.css, Common.css und Monobook.css) funktionieren weiterhin und sind keine Sicherheitslücke.

      Allerdings nicht im Kingdom Hearts Wiki. Die Tabber sind nicht mehr vorhanden und unsere Navi-leisten sind jetzt permanent offen.

        Lade Editor…
    • Pain88 sagte: Allerdings nicht im Kingdom Hearts Wiki. Die Tabber sind nicht mehr vorhanden und unsere Navi-leisten sind jetzt permanent offen.

      Weil das JS ist.

        Lade Editor…
    • Hallo Leute, Das Custom Java-Script sollte nun wieder in euren Wikias laden und der MediaWiki-Namenraum sollte im Lesemodus funktionieren. Die Verbatim-Tags sollten auch funktionieren. Es kann aber sein, dass ihr wegen dem Caching nicht gleich die Veränderungen seht. Man kann das Caching überlisten, indem man auf den Seiten mit kaputten Elementen bearbeitet und dann ohne eine Bearbeitung speichert.

      Mehr über das Thema kommt in den nächsten Tagen, aber spätestens zum Ende der Woche. In der Zwischenzeit arbeiten wir an einer Lösung, die für alle gut ist und die den Fokus auf Sicherheit hat.

        Lade Editor…
    • 20M61
      20M61 hat diese Antwort entfernt. Grund:
      Mein Rat funktioniert nicht. Verbatim-Tags bleiben trotzdem erhalten auch nach Purge und STRG+F5
      19:39, 11. Aug. 2015
      Diese Antwort wurde entfernt
    • Was für ein Ärger das wohl war? :/

        Lade Editor…
    • @Nobi:

      Dragon Rainbow sagte: Es wurden Benutzer ausgeloggt und irgendwie über JS ihre Passwörter geklaut, deswegen ist JS auch deaktiviert worden. Details zur Technik kenne ich nicht und brauche ich auch nicht.

        Lade Editor…
    • DarkBarbarian sagte:
      @Nobi:

      Dragon Rainbow sagte: Es wurden Benutzer ausgeloggt und irgendwie über JS ihre Passwörter geklaut, deswegen ist JS auch deaktiviert worden. Details zur Technik kenne ich nicht und brauche ich auch nicht.

      Ja mein guter @Barbar! ^^ Ich meinte das auch nur im übertragenen Sinne! :)

      Eine "Schweinerei" sowas! Wie gut das es immer Leute gibt, die sich der Sache annehmen.

        Lade Editor…
    • aka VSTF-Team :p

        Lade Editor…
    • NoBi-ThE-SoLo-MaStEr sagte:

      DarkBarbarian sagte:
      @Nobi:

      Dragon Rainbow sagte: Es wurden Benutzer ausgeloggt und irgendwie über JS ihre Passwörter geklaut, deswegen ist JS auch deaktiviert worden. Details zur Technik kenne ich nicht und brauche ich auch nicht.

      Ja mein guter @Barbar! ^^ Ich meinte das auch nur im übertragenen Sinne! :)

      Eine "Schweinerei" sowas! Wie gut das es immer Leute gibt, die sich der Sache annehmen.

      Das habe ich nicht so wie du es meinst aufgefasst^^. Jaja, so bin ich. Direkt und manchmal nicht mehr aufzuhalten ;)

        Lade Editor…
    • DarkBarbarian sagte:

      NoBi-ThE-SoLo-MaStEr sagte:

      DarkBarbarian sagte:
      @Nobi:

      Dragon Rainbow sagte: Es wurden Benutzer ausgeloggt und irgendwie über JS ihre Passwörter geklaut, deswegen ist JS auch deaktiviert worden. Details zur Technik kenne ich nicht und brauche ich auch nicht.

      Ja mein guter @Barbar! ^^ Ich meinte das auch nur im übertragenen Sinne! :)

      Eine "Schweinerei" sowas! Wie gut das es immer Leute gibt, die sich der Sache annehmen.

      Das habe ich nicht so wie du es meinst aufgefasst^^. Jaja, so bin ich. Direkt und manchmal nicht mehr aufzuhalten ;)

      Is ja halb so wild. ^^ Ich versteh dich schon. ;)

        Lade Editor…
    • Jetzt ist die ganze Sache ja schon 14 Tage her, wann wird denn der MediaWiki Namensraum wieder freigegeben werden.

        Lade Editor…
    • Komplett nie wieder, allerdings wird die Blacklist Stück für Stück gekürzt.

      Außerdem gibt es mittlerweile die Codeadmin-Gruppe für JS-erfahrene Admins. :)

        Lade Editor…
    • Ist schon klar, ab wann man wieder die Emoticons für den Chat bearbeiten können wird?

        Lade Editor…
    • OfWarWeDon'tSpeakAnymore sagte:
      Ist schon klar, ab wann man wieder die Emoticons für den Chat bearbeiten können wird?

      Ein konkretes Datum kann ich leider nicht nennen, aber es wird daran gearbeitet, auch diese Seite für Admins bald wieder zugänglich zu machen.

        Lade Editor…
    • ElBosso sagte:
      OfWarWeDon'tSpeakAnymore sagte:
      Ist schon klar, ab wann man wieder die Emoticons für den Chat bearbeiten können wird?
      Ein konkretes Datum kann ich leider nicht nennen, aber es wird daran gearbeitet, auch diese Seite für Admins bald wieder zugänglich zu machen.

      Da danke ich doch für die schnelle Antwort.

        Lade Editor…
    • OfWarWeDon'tSpeakAnymore sagte:
      Ist schon klar, ab wann man wieder die Emoticons für den Chat bearbeiten können wird?

      Deswegeb hat sich heute schon einer beschwert. Ich hatte neue Emoticons angekündigt, naja dauert halt noch ein wenig. Hoffentlich wird jene Blacklist nicht zu lange :|

        Lade Editor…
    • Ich glaube aktuell gibt es eher eine Whitelist oder nicht? Also es ist alles gespert, nur Seiten, die auf dieser Liste stehen, kann man bearbeiten.

        Lade Editor…
    • Werner der Champ lass dir doch einfach "Codeadmin" rechte via Spezial:Kontakt geben. Damit kannst du dann wieder die MediaWiki-Seiten bearbeiten.

      Ich glaub als Voraussetzung musst du entsprechend min. Admin in deinem Wikia sein - aber das war ja früher auch so.

        Lade Editor…
    • Ein FANDOM-Benutzer
        Lade Editor…
Diesem Beitrag zustimmen
Beitrag zugestimmt!
Leute, die dieser Nachricht zustimmten anzeigen