The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В WordPress выявлены проблемы с защитой сессионных ключей от..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В WordPress выявлены проблемы с защитой сессионных ключей от..."  +/
Сообщение от opennews (ok), 27-Май-14, 11:55 
В процессе разбора отчёта об ошибке в развиваемом организацией EFF Firefox-дополнении Privacy Badger (http://www.opennet.dev/opennews/art.shtml?num=39852) был выявлен (https://zyan.scripts.mit.edu/blog/wordpress-fail/) факт передачи в открытом виде идентификационных cookie, используемых для доступа к аккаунтам в блог-платформе WordPress (http://wordpress.org/). В том числе через незащищённое соединения передаются cookie с параметрами  сеанса для конфигураций с включенной двухфакторной аутентификацией.


Злоумышленник, который имеет возможность подслушать трафик жертвы (например, в публичных WiFi-сетях), может перехватить cookie и использовать их для входа в WordPress-аккаунт (по умолчанию время жизни сеанса составляет три года). Через подсмотренную cookie можно опубликовать сообщение или комментарий и получить доступ к статистике, но нельзя выполнить большинство административных действий, таких как смена пароля, так как для таких операций применяются защищённые cookie. При этом можно поменять email, что позволяет инициировать процесс смены потерянного пароля.


Разработчики  WordPress пообещали обеспечить защиту передачи идентификационных cookie, по аналогии с тем как сейчас передаются параметры входа и осуществляется смена пароля. Кроме того, планируется досрочно сбросить активные сеансы для которых cookie уже сохранены на системах клиентов.


URL: http://arstechnica.com/security/2014/05/unsafe-cookies-leave.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=39863

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 27-Май-14, 11:55 
Вечно что-нибудь не "слава Богу" с этими инструментами для быстрого и лёгкого создания сайтов.
Ответить | Правка | Наверх | Cообщить модератору

2. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +4 +/
Сообщение от AlexKerrey (?), 27-Май-14, 12:12 
Типа со сложными системами создания сайта дела обстоят иначе. Дыры были есть и будут!
Ответить | Правка | Наверх | Cообщить модератору

6. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +2 +/
Сообщение от Аноним (-), 27-Май-14, 16:57 
Инструменты для быстрого и легкого создаеия сайтов сложны внутри, а те, что для нелегкого - обычно наоборот проще. Потому в первых чаще ошибки находят.
Ответить | Правка | Наверх | Cообщить модератору

7. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +/
Сообщение от rshadow (ok), 27-Май-14, 17:47 
Такими инструментами на порядок чаще пользуются, потому и находят чаще. А те 4то делают ручками, в любом случае фреймворком пользуются с уже написанной авторизацией. Иначе, просто неуловимые джо.
Ответить | Правка | Наверх | Cообщить модератору

3. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +4 +/
Сообщение от Pascal (??), 27-Май-14, 12:15 
Троллить опенсорсный софт все могут. А вы сможете предложить что-то лучше?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

8. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +/
Сообщение от Bolek (ok), 27-Май-14, 19:17 
ща какой-нибудь битрикс прорекламирует :-)
Ответить | Правка | Наверх | Cообщить модератору

9. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +/
Сообщение от umbr (ok), 27-Май-14, 20:45 
MODx, Drupal, Joomla.. не то?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

10. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +/
Сообщение от Pascal (??), 28-Май-14, 07:43 
> MODx, Drupal, Joomla.. не то?

Те-же яйца только сбоку.

MODx не раскуривал.
У друпала юзабилити 0. Джумла глюченая, дырявая и сложная. Вордпресс превосходит обе цмс по качеству, хотя назначение немного другое.

Ответить | Правка | Наверх | Cообщить модератору

11. "В WordPress выявлены проблемы с защитой сессионных ключей от..."  +/
Сообщение от MVK (??), 28-Май-14, 11:42 
"по умолчанию время жизни сеанса составляет три года" - чего тут тролить, над думать о диверсии или о кретинизме
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру