وردپرس کوکی حاوی شناسه ها را رمزنگاری نمی کند!
زمان کنونی: ۳۱-ارديبهشت-۹۷, ۰۳:۱۰ صبح
کاربرانِ درحال بازدید از این موضوع: 1 مهمان
نویسنده: Admin
آخرین ارسال: Admin
پاسخ ها 1
بازدید 1432

ارسال پاسخ  ارسال موضوع 
وردپرس کوکی حاوی شناسه ها را رمزنگاری نمی کند!
نویسنده پیام
مدیر کل سایت
مدیر کل سایت

وضعيت : آفلاین
ارسال‌ها: 626
تاریخ عضویت: خرد ۱۳۹۱

اعتبار: 24
محل سکونت
ایران

بیش از ADSL-2 Mb/S
بازي مورد علاقه
Mafia
تیم محبوب
حالت من

سپاس ها 421
سپاس شده 210 بار در 121 ارسال

سطح: 22
اعتبار: 158 / 546
مهارت: 208 / 9,529
تجربه: 87 / 100

ارسال: #1
news وردپرس کوکی حاوی شناسه ها را رمزنگاری نمی کند!
[تصویر:  147187.jpg]



به نقل از نکست انپکت, سایت وردپرس داتکام محتوای بعضی کوکی ها که شامل کوکی شناسه ها میشود را رمز نگاری نمیکند. این یک مشکل امنیتی مهم است که باعث شده که Electronic Frontier Foundation نشان دهد که چگونه اطلاعات را میتوان به دست اورده و از انها استفاده کرد.
 
وردپرس داتکام که نباید انرا با سیستم مدیریت محتوا اشتباه کرد در حال حاضر اسیب پذیری امنیتی مهمی دارد. زمانیکه کاربر به سرویس میزبانی بلاگها کانکت میشود یک کوکی که حاوی شناسه های او است روی کامپیوترش ساخته میشود. اما مشکل این است که اطلاعاتی که در این کوکی هستند رمزنگاری نشده و در نتیجه شناسه ها برای هر کسی قابل رویت هستند.
 
Yan Zhu, عضو Electronic Frontier Foundation, برای نشان دادن خطر این مشکل تستهائی انجام داده است. او این کوکی را از پروفایل فعال خود در مرورگر گرفته و انرا در یک پروفایل جدید و بدون هیچ تاریخچه ای کپی کرده است. سپس روی وردپرس داتکام رفته و این سایت مستقیما شناسه های این کوکی کپی شده را بدون هیچ مشکلی پذیرفته است.
 
به دست اوردن این کوکی روی شبکه های وای فای محافظت نشده اسان است. اینکه کاربرانی با خیال راحت در یک محل عمومی نشسته و به نوشتن و یا بخصوص بروز رسانی بلاگ خود بپردازند نادر نیست. اما فردی مخرب میتواند داده هائی که روی شبکه ترانزیت میشوند را نظارت کرده و این کوکی را به دست بیاورد بخصوص که اینکار به دلیل قید"wordpress_logged_in" بسیار اسان است. میتوان به راحتی نتایج اینچنین چیزی را مجسم نمود و Yan Zhu انها را نشان داده است. میتوان با تغییر ادرس ایمیل تماس مالک واقعی کوکی و فعال سازی شناسائی دو مرحله ای, اکانت او را برای همیشه برای وی غیر قابل دسترسی کرد.
 
Andrew Nacin, رئیس توسعه دهندگان سیستم مدیریت وردپرس در بیانیه ای در اینباره توضیحاتی داده است. او یاداور شده است که سایت وردپرس داتکام مستقیما توسط وردپرس اداره نشده بلکه توسط شرکت Automattic اداره میشود و در نتیجه مدیریت ان کاملا مستقل بوده و مستقیما با خود پروژه اوپن سورس مرتبط نیست. از طرفی مسلما این شرکت میتواند سریعا این مشکل را برطرف کند چون انجام راه حل ان بسیار ساده است.
 
اما Andrew Nacin از اینکه EFF قبل از افشای این مشکل برای عموم مستقیما انرا به اطلاع افراد مسئول نرسانده ابراز تاسف کرده و افزوده است که سیستم وردپرس و یا لاقل قسمت اعظم ان از کانکشنهای اس اس ال پشتیبانی میکند. در عین حال در حال حاضر با کارهائی که روی نسخه 4.0 ان انجام میشود, پشتیبانی از اس اس ال بهتر شده و برای همه بطور پیشفرض فعال خواهد بود.
 
در هر حال این مشکلی است که شامل تمام سایتهائی که از کانکشنهای رمزنگاری شده برای مبادله داده های شخصی بسیار مهم استفاده نمیکنند میشود. اما در اکثر موارد سرویسهای میزبانی وردپرس کاملا از اس اس ال با صفحات HTTPS و کوکیهای رمزنگاری شده پشتیبانی میکنند.
 
ایده ال این است که تمام کاربران نگران بوده و در صدد دانستن اینکه ایا اینچنین چیزی برای انجام اینگونه عملیاتی انجام میشود یا نه بر ایند و همچنین سایتی چون وردپرس داتکام که مراجعین بسیاری دارد باید قوانین رفتار و اعمال صحیح در زمینه امنیتی را اجرا کند.

منبع:ترفندستان

در صورت مفید بودن پست از دکمه های [تصویر:  postbit_thx.gif] و [تصویر:  postbit_reputation.gif] استفاده کنید.
۸-خرداد-۹۳ ۰۲:۱۵ عصر
مشاهده‌ی وب‌سایت کاربر یافتن تمامی ارسال‌های این کاربر نقل قول این ارسال در یک پاسخ
آگهی
ارسال پاسخ 


Bookmarks

چه کسانی کسی از این موضوع دیدن کردن
1 کاربردرحال خواندن این موضوع:
Admin (۱۳-خرداد-۹۳, ۰۹:۲۹ عصر)

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

Powered by MyBB © 2002-2017
Persian Translation by MyBBIran.com ,My-bb.ir



در انجمن
در گوگل