Rutger Hensel

WordPress is great and so are the endless themes around the internet you can use to display your blog to whatever you may feel like today.

But today I found out that those innocent themes (after all they are just a bunch of templates, .php files actually, so not really harmless anyway) can steal your login information, or that’s at least what it looks like after my “crime scene investigation”.

I am using the wordpress iphone app to take a photo, enter some words and then it posts the blog for me. It uses the xml-rpc interface to conveniently post your blog from your iphone to the wordpress code on your website.

It was only after something was not working, that I dug deeper to find out what was wrong. Actually this iphone app was working well on 3 blogs that I update once in a while, but not on one blog and I could not find anything wrong with it at first (same version, xml rpc was activated, etc.), only difference were the domainname and the way they look, the theme. Then I found this line in the source code (in the header.php file):

<link rel=”EditURI” type=”application/rsd+xml” title=”RSD” href=”http://scott-m.net/xmlrpc.php?rsd” />

A little bit further down that same header.php file was a line with the correct xml-rpc URL, but as the above line was closer to the beginning, the iphone app was fooled to take that first one when trying to figure out where my xml-rpc interface was located. But because that domain scott-m.net looks like it is not active anymore it triggers an error.

It does not look hard to set it up as a phishing trap by that friendly theme creator (who is so nice to give away that eye candy for free!). If they set up their own xml-rpc service that works like a proxy, so it may look like it is working well, but your username and password that are sent along can be easily saved to do some bad stuff. Or in my case, it may look like an error, but the username and password are already saved.

I am not saying that the above corvette template is phishing my userdetails on purpose (it could just be a line remaining from testing), but they could if they wanted.

I think it could be fixed by WordPress by checking if that EditURI href URL differs from the URL that you enter when setting up the domain in the iphone app. Maybe with an override of some sort, but in any case some protection against this would in imho be a lot safer than it is right now.

Our new facility in Los Angeles is 100% solar powered. We’d love to host you and please note that we have batteries so your site will be up during the night ;-)

This Wednesday, we share our office space again. Please come in between 9am-5pm and bring a smile, a laptop and (net)work with colleagues. Love to see you there!

It’s been a while since I felt the need for a way to display all my online profiles on my blog. At that time limited in my options, I developed the Online Networking plugin.

Since then a lot of companies have developed awesome tools to do this, but until now I have not felt the need to replace the Online Networking plugin. Until now, so it happened. As you can see on the right, a custom widget from Retaggr, including picture and all the networks you can imagine you’d want to display.

Don’t want a big widget, no problem, how about this one?

How cool, to turn your WordPress mu (multi user) weblog, into a full social network website. At this time you can download the beta, but official release scheduled for end of ’08.

Het AD schrijft over een opmerkelijk geval dat een ontslagen medewerker van Heineken die uiteindelijk betrokken bleek bij de ontvoering toch een ontslagvergoeding van 44.000 euro mag houden omdat Heineken de ontbinding van de arbeidsovereenkomst gebaseerd had op verstoring van de arbeidsrelatie in plaats van de mogelijke betrokkenheid bij een misdrijf.

Kennelijk is het volgen van regeltjes en wetten belangrijker dan het gezond verstand. Het lijkt me een goed idee als het in de wet komt dat diegenen die veroordeeld worden voor een zwaar misdrijf elk recht op uitbetaling van wie dan ook daarmee ongedaan maken, zelfs met terugwerkende kracht indien enigszins verbandhoudend met de zaak.

Als je als rechter hiermee een voorbeeld wil stellen dat advocaten goed hun huiswerk moeten doen, vraag jezelf dan eens af of je jezelf nog recht in de spiegel kan aankijken. Ben je slaaf van de regeltjes en wil je dat de rest van de wereld ook een slaaf wordt net als jij? Of ben je een mens met kwaliteiten? Geef dan ook het goede voorbeeld en schenk die ontslagvergoeding aan de familie van het slachtoffer.

In between houses we have been driving a part of route 66 (from Albequerque back to LA), we have seen a lot of great and very diverse scenery.
Here are some pictures from a ghosttown mid August 2008.
You can see Joep hiding, because he really thought they would hurt him.

We waren toch in de buurt, dus maar even binnen gekeken. De vliegschool waar ik 13 jaar geleden een deel van mijn opleiding volgde is niet heel veel veranderd. In 2003 heeft de huidige directeur de school overgenomen van KLM. Inmiddels hebben ze 57 vliegtuigjes. Ik zag er nog 3 in KLM kleuren.

Leuk om door het gebied te rijden en herinneringen op te halen.

Lekker voetbal (Nederland vs Roemenië) gekeken in de Irish pub hier vlakbij! Geweldig dat zelfs het “backup-team” gewoon weer dik wint. Wel raar om dan zwalkend uit de kroeg te stappen in het super felle zonlicht en dat blijkt dat je nog de hele dag voor je hebt :-)

Oh good old days… toen ik nog piloot was… Dan hoef je die pre-flight filmpjes niet aan te horen, maar als passagier ontkom je er haast niet aan. De doorgewinterde passagier kijkt uiteraard niet op van zijn krant.

Hoe krijg je toch de aandacht? Virgin kwam met deze op de proppen: