Info
Eigentlich wollten wir die Folge nutzen, um ein wenig über die Förderung durch den Prototype-Fund zu sprechen. Das machen wir auch, müssen davor aber einige aktuelle Entwicklungen rund um die Wordpress-Plugins vermelden.
Timeline
Hallo, hier spricht Martin. Wir haben diese Folge am Abend des 8. März aufgenommen und sprechen darin unter anderem darüber, warum das Podlove Publisher Plugin aus dem WordPress Plug-in-Verzeichnis verschwunden ist.Jetzt haben wir Samstagmorgen, den 9. März und inzwischen ist das Plug-in wieder im Plug-in-Verzeichnis verfügbar. Das betrifft erstmal nur das Publisher Plugin, der Web-Player ist nach wie vor nicht verfügbar. Da halten wir euch aber auf weiterhin auf dem Laufenden.Außerdem noch ein kleiner Hinweis. Alex hat ein paar technische Probleme, deswegen ist seine Spur ein bisschen unsauber in der Aufnahme, aber auch Fonic hat da sehr viel gerettet. Vielen Dank noch mal an Georg und sein Team.Ja und jetzt viel Spaß mit der aktuellen Folge von. Herzlich willkommen zu einer neuen Folge des Podcast,Mit den Macherinnen und Machern von. Den Plugin für WordPress. Hallo, ich begrüße ErikUnd Alex, hallo. Genau und ich bin auch da.Wir wollten dieses Format eigentlich jetzt ab jetzt nutzen, um über unsere regelmäßigen Entwicklungen im Rahmen des Prototype Fund zu erzählen. Das machen wir auch.Starten aber mit einer etwas aktuelleren Meldung, äh die ihr vielleicht noch mitbekommen habt und da übergebe ich mal an Erik, um diese Geschichte zu erzählen, warum das Plug-in gerade nicht aufmWordPress verfügbar ist.
Plugin-Aufregung
00:58
Ja, Quick-Intermission. Was ist passiert? Gestern zehn Uhr sechsunddreißig habe ich eine E-Mail bekommen von Wordpress. Äh.
Das war der 7. März.
Ja, da stand drin, hey, ist dein publisher Plubkin ist grad gesperrt so im Großen und Ganzen.Lustigerweise meine erste Reaktion war Fasching, weil es ist so, hm hier ist irgendwas gesperrt und klick mal auf diesen Link und werde Tests erfahren. Das ist ja mal ein guter Verdachter Fishing.Aber stellen sie sich raus, es hat gestimmt. Äh ich habe dann auf die Seite von Publicard gegangen, also die von von WordPress im Verzeichnis und da ist dann einfach nur noch äh das Logo ist weg, der Titel ist weg, ist das noch so eine Notiz, hey, das Plugin ist grad gesperrt.Ja, also in der E-Mail selbst steht noch ein bisschen mehr. Im Grunde es gibt haben sie ein Security Problem festgestellt, beziehungsweise nicht sie selbst, aber dazu vielleicht später.Das referenziert und wir sollen das doch bitte beheben und einspielen. Dann gucken Sie sich das noch mal an und wenn Sie damit zufrieden sind, dann schalten Sie es wieder frei.Ja, das war erstmal ein Schock,Zumal dann irgendwie eine halbe Stunde später noch eine Mail haben wo auch der Webplayer gesperrt wurde und dann nochmal zwei Minuten später bekamen wahrscheinlich nur ich eine E-Mail dass auch noch ein ganz kleines uraltes von mir gesperrt wurde der Archivist,Egal, können wir jetzt hier außer Betracht lassen. Ja und,Dann war ich erstmal irgendwo zwischen irritiert und genervt und äh hm auch noch. Also ich hatte die Nacht vorher nur vier Stunden Schlaf. Das hat nicht geholfen. Und habe dann trotzdem irgendwie an der Fix selbst war relativ easy. Habe,Den dann irgendwie dreizehn Uhr zweiundzwanzig publiziert und ja released auch als WordPliSpark in, also vom.Mal Patchdeck informiert. Äh das ist im Übrigen die Plattform, die eigentlich den Security Fix ja berichtet, also nicht den Fix den Security Bug berichtet hat und auch noch eine E-Mail an das äh World Press Review Team.Das sind die die wir quasi die E-Mail geschrieben haben, dass mein Plug-in,aus dem Verzeichnis genommen wurde. Und im Grunde warten wir jetzt seitdem, also mittlerweile ist jetzt,24 Stunden vergangen darauf, dass die sich melden. Also in der E-Mail steht auch, ey ja, Security-Kram, wir kümmern uns daten top Prio drum.Mal schauen. Ich ich denke, ich habe relativ fix reagiert.Bisher habe ich von denen jetzt noch keine Reaktion erhalten. Die andere Hälfte ist der der Webplayer, wo Alex auch relativ Beute nachgeguckt hat und meinte, tja, ist blöd oder kannst du vielleicht selber kurz was dazu sagen.
Ja, kann ich machen,Ja, bei Webplayer ist es ein bisschen anders gelagert. Da hatte ich auch normalerweise kriegt man von Patch Steak auch vorher mal eine Mail zugesendet, dass eine Security vulnerability gefunden wurde.Das war in dem Fall nicht so. Die ist schon ein bisschen älter, also ausm November, eine CVSSQR von fünf Komma drei.1 ist, ist das möglich, es ist jetzt also kein hochkritische Lücke und mehrere Betrachtungen, weil das war das erste Mal, dass ich davon wirklich erfahren hatte,handelt es sich auch um eine Sicherheitslücke, sondern die Kritik oder beziehungsweise angemerkt wurde, dass eine API,gecallt werden kann, die dann Settings vom Webplayer zurückgibt und das ist insofern,Halt, also Get, also ganz normal, ganz normaler auf diese API und,Das wird verwendet von äh an einen weiteren integrativen Plugins. Deswegen gibt es diesen Endpunkt, der ist ja nicht da, weil ich ihm.Einfach nur haben wollte. Es ist also auch kein es ist das Problem ist, es ist keine richtige Security-Lücke und entsprechend kann ich die natürlich auch nicht fixen, weil es ist halt ein vorgesehener API, die Vibris, Jason API rausgelassen wird.Und da muss man mal, glaube ich, ein bisschen härter draufschauen, wenn wie Patch-Steak überhaupt diese Security Security wohl eine Rebilities überhaupt prüft.Und auch akzeptiert, weil das sind User, die äh quasi werden die dann oder die ich die haben ja glaube ich kriegen,zumindest bestimmte Sichtbarkeit dadurch, dass sie Sicherheitsbecken melden und bei Patchs, die akzeptieren die dann und dann wird eine CVS,extra dafür erstellt und auf dieser Basis wird dann quasi,ein Plugin, ne, ohne dass man davon weiß, also theoretisch, ja, ich meine, die Implikationen sind aber andere, aber ja, ich habe jetzt äh direkt Kontakt mit Patch, habe denen geschrieben, dass er bitte nochmal draufschauen sollen.Da gibt's auch noch keine weitere Rückmeldung.
Ja, ist die Rolle von Patchsack hier an der Stelle, wenn ich auch noch ein bisschen habe ich viele Fragezeichen. Also zum einen war mir nicht klar, dass überhaupt das für WordPress als Basis genommen wird.Zu sperrenNe, also das irgendwie dann nicht weiß ich nicht, ob die zusammenarbeiten oder aber es erschienen mir zumindest als eine unabhängige for Profit-Instanz, die wissen Sie irgendwie, auch EU gesponsort oder so? Ich weiß nicht genau, was was da dahinter steckt. Aber, also grundsätzlich,Schöne Sache, ne? Also irgendwie Sicherheitsforscher, die sich irgendwie oben angucken und da Sicherheitslücken finden und die auch über veröffentlichen, alsonatürlich zuerst versteckt die die eigentlich Entwickler,kontaktieren, denen eine Chance geben, das zu beheben und dann erst mit einer gewissen Zeitfrist zu veröffentlichen. Grundsätzlich eine schöne Sache. Was bei Patchwork wäre schon mehrfach Probleme hatten, also vor allem beim Webplayer das das mit der Kommunikation schwierig war, ne? Also du,bekommst dann irgendwie nur so eine E-Mail, auf die du nicht antworten kannst,Und wenn man Rückfragen hat, dann ist irgendwie unklar, wohin die zu stellen sind oder tja, das ist schwierig.
Also,Man kriegt da einen Link, da kann man sagen jetzt quasi fix eintragen, dann kriegt man den Fix ein oder die quasi Referenz zu dem Fick, den man äh den man gebaut hat und danach ist Ruhe. Da muss man hoffen, dass das irgendwie da durchkommt oder nicht und das hat jetzt war vorher jetztnervig, weil wir haben relativ viele Anfragen aus der Community bekommen, was, wieso wir da jetzt voll Sicherheits äh,quasi Reports in ihren WordPress auftauchen. Jetzt ist es natürlich schon eine andere Kategorie.
Ja jetzt hat's ein bisschen mehr mehr aus Auswirkungen. Ähm.
Was sind denn, was sind denn die Empfehlungen, wenn man jetzt Pottler-Fuser ist grade?
Nichts tun. Also bei.
Installiert hat, dann hat man das Parklet installiert, da passiert jetzt erstmal nichts weiter. Wenn man wenn man jetzt neu anfangen möchte, dann,Und jetzt hat man ein Problem. Also man könnte es wahrscheinlich von der von GitTH irgendwie vielleicht runterladen und dann hochladen, aber da sind wir richtig schöne Wege.
Nee, ich glaube, da liegen mittlerweile auf Gitabliken mittlerweile auch keine gebauten Beinaries mehr rum, müsste ich mal gucken, aber als es wesentlich ist, was wir glaube ich noch nicht gesagt haben, also beim,Ist das kein Bug, sondern it's the feature. Da muss überhaupt nichts getan werden. Da müssen wir nur hoffen, dass bei jemand reagiert und sagt, ah okay, entscheiden wir's wieder frei. Beim Publisher ist es,theoretisch tatsächlich ein das Wunderability, die aber so geringfügig ist, dass da niemand nervös werden muss. Also,was hier der die Angriffsfläche ist. Es gibt ja unter Werkzeugen einen reparieren Button und einen Cash-Löschen-Button. UndDiese kann man mit ein bisschen Phishing und Manipulation von außen auslösen. Alsonicht direkt auslösen, sondern ich muss jemanden mit adminrechten, der eingeloggt ist an WordPress, eine spezielle Seite bauen und ihn dazu auf diese Seite führen und dann wird eben der Cash gelöscht oder der Repair Button gedrückt.Also ihr habt nicht wirklich so der wahnsinnig fiese Angriffsfläche, weil einfachnichts kaputt gemacht werden kann. Ist aber Tegury-relevant aus einfach,Kann einfach was ausgelöst werden, was nicht ausgelöst werden soll. Deswegen gilt's als Security Bug und Muskelöst werden. Und ist auch schon gelöst. Äh wie gesagt, ich habe.Den Bug relativ schnell gefixt. Nur kommt dieser Fixen nirgendwo an. Denn nicht nur ist die die äh Verzeichnisseite,sondern auch die Updates des Plug-ins sind die aktiviert und das ist irgendwie so ein Vorgehen was ich,überhaupt nicht nachvollziehen kann. Also was der Gedanke dahinter ist, zu sagen,Okay, wir haben jetzt hier eine kritische meinetwegen, sagen wir eine kritische Lücke entdeckt, wo man oder dieses das System übernehmen kann oder Daten auslesen kann dann wird man dieses schaltet man die Seite im Verzeichnis abokay? Dann können schon mal keine neuen Nutzer sich das Park installieren. Aber was ist mit den,Die das Beginn haben. Ich habe keine Chance als als Entwickler meine meine Nutzer in zu kontaktieren.Ich habe ja keine E-Mail, äh den Sie schreiben kann. Ich kann irgendwie auf Mastordon posten oder Twitter oder Facebook oder keine Ahnung, wo ichschätze, dass meine Nutzerinnen rumhängen und dann hoffen, dass die das lesen. Tun sie nicht, was wir auch daran merken, dass wir äh zunehmend mehr E-Mails bekommen von irritierten Nutzern.Feststellen, dass es Plugin äh verschwunden ist und sich Sorgen, ob sie sich irgendwie nach was Alternativen umgucken müssen, weil's einfach keinerlei Kommunikation gibt, weil wir nicht kommunizieren können. Ja, also,schwierig. Und natürlich die Leute, die sagen, okay, wir sehen hier, weil sie's noch irgendwelche anderen Plaketts installiert haben, das ist irgendwie ein Security Show gab. Wo ist denn der Fix? Ja,Kann ich nicht die bläuen, weil ich wir warten jetzt auf WordPress, dass ich irgendwie wieder freischalten. Also warum kann ich den,backfix nicht ausspielen zu meinen Existierenden Nutzern. Verstehe ich nicht. Also,absolut unverständlich. Es ist einfach der absolute Farce an der Stelle.
Ist sehr absurd. Also auch von außen drauf betrachtet und aus juserem Sicht,Die Lösung lädt ja da und man müsste sie einfach nur ausspielen, aber somit sind nicht einfach die Software unter den Füßen wegzuziehen, ist natürlich sehr, sehr schwierig.
Das ist für die Entwickler furchtbar, also für uns, weil's einfach Support-Albtraum ist. Selbst irgendwie ein normales Sachen kann ich nicht mehr beantworten, weil eine häufige Antwort, die ich geben kann, ist, hey, guck mal, nach irgendwie Fehlermeldungen.Und dann installiert ihr die feurige Version.Man kann sich jetzt die äh Version aber nicht mehr installieren, weil die Seite nicht mehr da ist, wo man sich es vorher runterladen konnte. Das heißt, man hängt dann auf der kaputten Version fest, um das zu kompetentieren,ist das quasi das Feedback an das Videoteam ist, warum gibt's keine Vorwandzeit, ja? Also wenn Patchsack mir oder auch andere,Security, Forscher, ich glaube von Word Fans hat mittlerweile auch,einige Forscher, die mich schon kontaktiert haben, ähm die es im Übrigen besser machen als Patchsack. Wenn die mir was schicken, dann habe ich eine Reaktionszeit.Ja dann habe ich 30 Tage oder so was oder zwei Wochen wenigstens um zu reagieren. Es ist besser als Licht ausund dann informieren. Also zur Wahl gesagt, es es bringt dir überhaupt nichts, das Licht auszumachen. Designer tun ja noch alle da. Also wer hat sich das ausgedacht? Wem wem kann ich eine E-Mail schreiben? Mit bittenden Händen, diese Scheiße zu ändern. Also dasBringt dort einfach niemandem etwas.
Ja, du schreist jetzt da in die Lehre rein oder schreibst in die Lehre rein und hast gar keinen Ansprechpartner, hast keine Telefonnummer, musst jetzt einfach drauf vertrauen, dass eine E-Mail von irgendjemandem gelesen wird, der den Sachverhalt versteht, das ist total unbefriedigend.
Also ich habe gestern so ein bisschen rumgegoogelt. Das ist dieses oh Moment, wo steht's? Dünn Wordpress Plugin Review Team. Also mir das auch unterschrieben, die,Die die E-Mails und es ist wohl ein sehr kleines Team irgendwie vier, fünf Leute, zumindest war das irgendwie der irgendwas, was ich einen Blogpost von vor einem Jahr oder so gefunden habe.Die äh wahrscheinlich jetzt auch irgendwie so nach und nach,irgendwie ihre Skripte auf auf diese Plug-ins werfen und das dann irgendwie durchgehen. Also E-Mail steht im Übrigen auch, also ich habe da zumindest einen Ansprechpartner, ja. Also ich kann auf diese E-Mail antworten. Also,in der Hoffnung, dass es irgendwo ankommt und mir dann auch geantwortet wird. Aber in dieser Ebene steht halt auch drin,Äh hey, wenn du diesen buck fix released hast, dann gucken wir uns nochmal das gesamte Plug-in an,Um sicher zu gehen, dass da keine weiteren Fehler drin sind, weil es wäre ja doof für eure Nutzer, wenn das dann später wieder,geschlossen werden muss wegen sowas.
Die lesen sich das alles noch mal durch.
Mini Plugins irgendwie funktionieren, aber,Ich meine, die können doch nicht einen Ernstes sagen, äh die gucken sich jetzt den Publither irgendwie komplett an. Irgendwie ein paar hundert Dateien mit um die hunderttausend Zeilen Code.Weiß nicht wie viel Wochen oder Monate sich Zeit genommen jetzt reserviert haben um das Plug-in irgendwie mit einem feinen Kamm durchzugehen.Ja, keine Ahnung, istwürde auch einfach gern wissen, wie's jetzt weitergeht, ne. Also wir haben irgendwie unseren Teil getan gestern schon und jetzt sitzen wir hier rum und kann ich, soll ich vielleicht noch mal eine E-Mail schreiben irgendwie, bisschen nachfragen, ob was so die Timeline aussieht.Dass ich irgendwie auf anderen Kanälen versuchen wird anzupingen. Völlig unklar.
Das ja, das kam unerwartet und ja. Eigentlich äh auch zum Zeitpunkt, wo wir eigentlich und mit anderen schöneren Sachen beschäftigen wollen. Aber da sind wir nun.
Aber wir wollen ja hier wahrscheinlich jetzt sowieso im wie war's zwei Wochentakt berichten? Ähm.
Prototype-Fund-Update
15:04
Genau, wir versuchen jetzt diesen zwei Wochentakt zu halten, in der in dem Taktgibt's quasi auch immer Updates an ja die Projektträger vom und das haben wir gedacht nehmen wir zum Anlass um auch so ein bisschen über unsere aktuellen Entwicklungen zu berichten, was wir da jetzt in diesem Projekt machen, was wir getan haben, was wir vorhabenUnd genau und das machen wir öffentlich und ihr könnt dabei zuhören. Ja, was machen wir beimPrototype Pfand. Ihr habt's ja gelesen, wir versuchen einen Import- und Onboarding-Assistenten zu bauen für das Plug-in undda sind wir jetzt grade in den Anfängen. Dirk ist natürlich auch mit dabei. Der feiert heute eine eine Feier und deswegen,heute nicht dabei.Aber genau, das ist unser Ziel und ja, was was was macht man da, wie macht man das? Da haben wir uns tatsächlich schon mal getroffen, haben das so ein bisschen aufgemappt und jetzt geht's darum, das Ganze in ja einzelne Arbeitspakete zu gießen und,Da da schlau zu werden, in welcher Reihenfolge wir das angehen? Sehr gut. Ähm,Hinzu kommt, dass man natürlich dafür auch die organisatorische Struktur brauchen. Das heißt, wir haben jetzt in den vergangenen Wochen auch so ein bisschen ja Orga-Kram gemacht, um alles einzurichten, was wir da für was wir dafür benötigen hinter den Kulissen und auch dieses Konstrukt, in dem wir hier arbeiten, dass,dass sollen wir das halt wählen mit der GBR, ist das relevant.
Ja doch, ich da muss man nochmal sehr großen Dank dir aussprechen. Martin war, glaube ich, ohne dich hätten wir dann wahrscheinlich dann gesagt, ja das ist jetzt dann vielleicht doch ein bisschen zu viel Aufwand und diedir die ganzen bürokratischen Akte, die geleistet werden mussten, überhaupt erst mal in die Position zu kommen, dass man gefördert wird.
Genau, wer was man dazu sagen muss, man kann beim Prototyp Pfand als Einzelperson gefordert werden. Das ist vergleichsweise einfach, wenn man,Wenn man angenommen wird, wenn man als Gruppe sich bewirbt, muss man danach eine,GR eine gesellschaft bürgerlichen Rechtsgründen, das ist so eine ganz einfache BGB Personengesellschaft und das mussten wir machen und wir brauchen dafür auch einen äh GBR-Konto und diese zwei Akte haben uns jetzt so die letzten,Wochen, Monate, also wir sind halt jetzt dran seit kurz vor Weihnachten halten die uns auch noch parallel in Beschlag.Weil das doch ein sehr großer bürokratischer Aufwand ist mit verschiedenen Ämtern, Gewerbeamt, Finanzamt und eben dem und der Bank, die wir dafür brauchen und deswegen unser Rat, wenn ihr euch überlegt beim mitzumachen als Teamdann kümmert euch auf jeden Fall rechtzeitig drum und holt euch vielleicht Infos von Steuerberatern oder Leuten, die auch schon mal durch diesen Prozess gegangen sind.Weil ich glaube, man kann nicht zu früh damit anfangen.
Martin ist jetzt Profi.Ja also wirklich äh tausend Dank äh auch von mir an dich. Das ist war unerwartet, wie viel bürokratischer Aufwand da dranhängt und ich meine, das was Alex Dirk und ich machen müssen, ist im im Grunde irgendwie immer mal was unterschreiben.An an Martin schicken. Das hält sich doch in Grenzen, aber der Aufwand, der bei bei Mathe bei dir liegt ist es schon, ja, klingt klingt unangenehm.
Genau, ich hoffe, das ist jetzt nur am Anfang so und wir kommen bald. Tatsächlich in einen Modus, wo wir dann auch aktiv an der Software arbeiten können und ich dann auch so ein bisschen die Userinnensicht einnehmen kann.Zu dem, was ihr programmiert und ich dann mit den organisatorischen Sachen weniger Zunahmen. Ich bin auch schon sehr gespannt, wie das dann aussehen wird. Wenn dann äh wenn dann tatsächlichKot entsteht für für das Plugin, was dann hoffentlich auch bald wieder verfügbar sein wird.
Ob wir es schippen können, wissen wir mal nicht, aber.
Was wir auch vorhaben, ist tatsächlich, euch zu beteiligen.Wir nutzen dieses dieses Format hier mit dem Podcast einerseits um euch darüber zu informieren und laden euch da aber auch nochmal herzlich ein in den ebenfalls dann zwei wöchentlich stattfindenden Roundtable zu kommen, der ja eh regelmäßig stattfindet und da wollen wir auch über die Entwicklunginformieren und suchen dann natürlich auch Feedback und Testerinnen und Testern zu einem späteren Zeitpunkt. Aber wenn ihr da wirklich auch noch mal einen aktiven Blick drauf werfen wollt, dann würden wir uns freuen.Genau, das ist so der Stand, ich glaubeDirk hat auch schon bisschen ja so gesichtet, was was er so tun möchte. Ich glaube ihn fragt man nächstes Mal aus. Gibt's von eurer Seite noch was, wasihr jetzt grade getan habt oder was was demnächst ansteht. Also ich kann vielleicht noch erzählen, dassgehe jetzt gleich nochmal auf ja das das Board gucken werden, wo wir und uns einzelne Tasks raussuchen und aufschreiben, die zu bearbeiten sind, aber gibt's sonst irgendwas, was ihr akut getan habt außer das Plug-in zu retten?
Nee, also bei mir konkret, ich muss erstmal wirklich anfangen. Also mein letzter Stand ist immer noch der das äh der Workshop, als wir uns zusammengesetzt haben. Ich habe mir jetzt noch gar keine konkreten äh Arbeitspakete angeschaut.Das würde ich dann tun, wenn ich wieder ein bisschen entspannter unterwegs bin.
Okay. Alex, Verbindung ist ein bisschen schlecht, aber vielleicht kannst du auch noch ganz kurz sagen, was was bei dir gerade so passiert ist oder ob wir jetzt tatsächlich damit erstmal starten.
Gleicher Zustand wie bei Erika.
Okay, dann würde ich sagen, machen wir,heute mal den Deckel drauf und melden uns in zwei Wochen zurück mit einer verbesserten Autoqualität.Wir wechseln dann vielleicht auch sogar die Plattform nochmal und begrüßt dann auch Dirk wieder in der Runde. Wir hoffen, dass ich bis dahin auch das Plug-in wieder manifestiert hat im Download-Bereich von WordPress und,folgt uns gerne auf Mastodon für Updates dazu und auch zu den Entwicklungen hier beim Prototype Fund Pluginoder im Modul und genau, dann hören wir uns in zwei Wochen wieder und vielen Dank für ja das Vertrauen, eure Treue undWir wir machen weiterhin gute Software für euch.
Ciao.