Cookies未加密:WordPress账户被曝存在“开放网络”隐患

标签: cookies 加密 wordpress | 发表时间:2014-05-28 11:42 | 作者:
出处:http://www.cnbeta.com/

通过开放Wi-Fi网络访问Internet的人们,它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证)!这个新漏洞是由电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员发现的。其原因是,当你访问WordPress的时候,该网站会发送一个纯文本的cookie,而非加密cookie。

此后,WordPress将允许用户在网站上进行博客修改和私信等操作。由于WordPress的放任了这个未加密的cookie,因此它很有可能被拦截。

为了验证这点,Zhu拿自己账户的cookie进行了测试,“复制”结果表明,攻击者也可以轻而易举地得逞——无需输入任何信息,甚至绕过了两步验证。

如此一来,攻击者就可以利用这个cookie,执行更改email地址等进一步操作。即使Cookie会过期,但如果用户处于一个开放网络中,其杀伤力就会高很多。

不过,启用了HTTPS的自托管WordPress账户,并不会受到这个漏洞的影响。对于那些未启用HTTPS的网站,请尽量避免在“不安全的网络”中进行账户的访问操作。

[编译自: Neowin, via: Ars Technica]

相关 [cookies 加密 wordpress] 推荐:

Cookies未加密:WordPress账户被曝存在“开放网络”隐患

- - cnBeta.COM
通过开放Wi-Fi网络访问Internet的人们,它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证). 这个新漏洞是由电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员发现的. 其原因是,当你访问WordPress的时候,该网站会发送一个纯文本的cookie,而非加密cookie.

黑客能利用不安全的cookies劫持你的WordPress博客

- - Solidot
HTTPS Everywhere和Privacy Badger Firefox维护者Yan Zhu发现了WordPress的一个安全漏洞,该漏洞将允许黑客劫持你的WordPress博客. 她发现一个重要的cookies“wordpress_logged_in”在输入有效的用户名和密码后通过HTTP明文发送到WordPress的一个认证端点.

没有cookies,广告会怎样?

- - 36氪 | 关注互联网创业
广告技术行业有些无奈,要面对着那么多(广告)点击率已死的的言论. 显示广告又表现不如意,可还得接受从桌面端到移动端的变现挑战. 但有个潜在问题并没获得太多关注,关乎这个市场里的参与者都没有控制权的那个东西:cookies. 它的利用机制其实暗波涌动,而如果事情再这么发展下去,很多广告产品都会变得一无是处.

WordPress SEO 宝典

- luckerme - 我爱水煮鱼
最基本的搜索引擎优化(SEO)是很简单的,而 WordPress 程序本身的一些优势使得 SEO 变得更加容易,比如我爱水煮鱼有超过 70% 的流量来自搜索引擎,所以做好 SEO 就是流量的保证,这篇文章就给大家介绍下在 WordPress 博客中最基本的一些 SEO 要求,希望能够帮助到你. 简单来说 SEO 分为页面优化和链接建设两大部分,页面优化是基础,而链接建设则是重点,两者缺一不可.

WordPress 技巧

- - CSDN博客互联网推荐文章
WordPress字体设置方法详解.          WordPress开源程序功能越来越强大,未来我们不仅仅可以使用wordpress制作个人博客,还可以使用wordpress程序制作CMS内容管理系统. 很多 Wordpress主题SEO优化的非常好,而且还附带了一些adsense广告位置,让不懂SEO以及代码修改的朋友轻松解决博客优化以及广告位放置问题.

WordPress SEO 宝典

- - 人人都是产品经理
最基本的搜索引擎优化(SEO)是很简单的,而 WordPress 程序本身的一些优势使得 SEO 变得更加容易,比如我爱水煮鱼有超过 70% 的流量来自搜索引擎,所以做好 SEO 就是流量的保证,这篇文章就给大家介绍下在 WordPress 博客中最基本的一些 SEO 要求,希望能够帮助到你. 简单来说 SEO 分为页面优化和链接建设两大部分,页面优化是基础,而链接建设则是重点,两者缺一不可.

WordPress 相关日志插件:WordPress Related Posts

- - 我爱水煮鱼
我们知道 WordPress 使用的 MySQL 数据库默认是不支持中文分词,所以在中文情况下产生相关日志的最好方法就是通过 Tag,而. WordPress 2.3 版本开始 WordPress 内置了 Tag 的支持. 所以根据日志含有相同的 Tag 数越多,就认为日志相关性越强,所以我根据这一原理开发了 WordPress Related Posts 这个插件,最新版已经由 Zemanta 接手继续开发了.

WordPress如何赚钱?

- 幻幽 or A書 - 36氪
WordPress是一个免费的开源博客平台,那么它是如何赚钱的呢. 创始人Matt给出了以下7点盈利来源:. 比如说为Om Malik,Allthings D这样的大公司博客提供博客托管,他们就会收取每月500美元. 有时候你可能会在WordPress平台上的免费博客内看到Google广告,不过这取决于以下3个条件都存在——访客使用的不是火狐浏览器,他已经登出WordPress账户(如果他有的话),链接源不能是WordPress平台博客(比如一个从abc.wordpress.com到xyz.wordpress.com的人不会看到任何Google广告).

Facebook Cookies跟踪登出系统的用户

- 微笑!?~ - Solidot
淘宝网女装秋装外套 写道 "Facebook被人诟病的最大问题是隐私问题,现在它再次被曝光在用户登出系统后仍然跟踪用户行为. 新的隐私问题是:由于修改了cookie,Facebook现在知道用户在做什么,即使用户已经登出Facebook网站,他们也能通过Cookie继续跟踪用户. 澳大利亚技术抓紧Nik Cubrilovic运行一系列测试,分析浏览器向Facebook网站发出请求的HTTP头文件,他发现Facebook在用户登出的时候没有删除cookie,而是对其跟踪的cookie进行修改.