Visite também: UnderLinux ·  Dicas-L ·  SoftwareLivre.org ·  [mais] ·  Currículo ·  Efetividade ·  Arduino

Usuários de WordPress: tem bug novo, tomem cuidado especial a usar redes públicas ou inseguras

Uma funcionária da EFF encarregada de desenvolver recursos de criptografia para defender os usuários contra monitoramentos usou seu tempo de folga para fazer um teste simples: interceptar um cookie de autenticação do WordPress, e depois colá-lo em outro navegador. Ela narrou o resultado: assim que acessou o site no navegador em que colou o cookie, estava logada com todos os poderes do usuário que havia se autenticado originalmente e teve seu cookie interceptado.

No caso, o acesso era administrativo, e ela pôde criar posts, removê-los, alterar configurações, mudar o e-mail para o qual são enviadas informações de mudança de senha, "trancar" o acesso do usuário original, etc.

Todo WordPress que esteja rodando em um servidor de hospedagem comum (sem https) está exposto, e os usuários ficam particularmente vulneráveis quando usam WiFi aberto ou redes públicas. Os desenvolvedores prometem correção a partir da próxima versão.

Uma curiosidade é que o cookie em questão é válido por 3 anos, e pode ser usado múltiplas vezes até lá. (via arstechnica.com - “Unsafe cookies leave WordPress accounts open to hijacking, 2-factor bypass | Ars Technica”)

Comentar

 
comments powered by Disqus

Comentários arquivados