Anleitung zum anonymen Bloggen mit Tor und WordPress
Global Voices Advocacy hat eine gute Anleitung, wie man ein komplett anonymes Blog aufsetzt - allerdings mit einem Fehler: Es ist nicht egal, ob der Webmail-Zugang verschlüsselt ist, selbst wenn man Tor benutzt. Tor selbst verschlüsselt gar nicht, und der Betreiber eines Exit-Nodes bekommt den Datenverkehr so verschlüsselt oder unverschlüsselt zu sehen, wie er ohne Tor gewesen wäre. Diese Schwäche wurde bereits genutzt, um an vertrauliche E-Mail-Zugangsdaten von Botschaften zu kommen.
Ein Angreifer, der an das Webmail-Passwort des Bloggers kommt, kommt nicht nur an alle E-Mails heran, sondern kann sich damit auch Zugang zum eigentlichen Blog verschaffen (in dem er so tut, als ob er das WordPress-Passwort vergessen habe und es dann zurücksetzen lässt) und dort beliebig Beiträge schreiben, ändern oder löschen.
