Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10384
  комментариев: 3197

В WordPress выявлены проблемы с защитой сессионных ключей от перехвата


В процессе разбора отчёта об ошибке в развиваемом организацией EFF Firefox-дополнении Privacy Badger был выявлен факт передачи в открытом виде идентификационных cookie, используемых для доступа к аккаунтам в блог-платформе WordPress. В том числе через незащищённое соединения передаются cookie с параметрами сеанса для конфигураций с включенной двухфакторной аутентификацией.

Злоумышленник, который имеет возможность подслушать трафик жертвы (например, в публичных WiFi-сетях), может перехватить cookie и использовать их для входа в WordPress-аккаунт (по умолчанию время жизни сеанса составляет три года). Через подсмотренную cookie можно опубликовать сообщение или комментарий и получить доступ к статистике, но нельзя выполнить большинство административных действий, таких как смена пароля, так как для таких операций применяются защищённые cookie. При этом можно поменять email, что позволяет инициировать процесс смены потерянного пароля.

Разработчики WordPress пообещали обеспечить защиту передачи идентификационных cookie, по аналогии с тем как сейчас передаются параметры входа и осуществляется смена пароля. Кроме того, планируется досрочно сбросить активные сеансы для которых cookie уже сохранены на системах клиентов.


Источник: opennet.ru

  27 мая 2014 601
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 9 и 17*:            


Хостеры (2473)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 30 и 4*:


Яндекс цитирования
сообщить о неточности