Cookies未加密:WordPress账户被曝存在“开放网络”隐患
- - cnBeta.COM通过开放Wi-Fi网络访问Internet的人们,它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证). 这个新漏洞是由电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员发现的. 其原因是,当你访问WordPress的时候,该网站会发送一个纯文本的cookie,而非加密cookie.
通过开放Wi-Fi网络访问Internet的人们,它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证)!这个新漏洞是由电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员发现的。其原因是,当你访问WordPress的时候,该网站会发送一个纯文本的cookie,而非加密cookie。
此后,WordPress将允许用户在网站上进行博客修改和私信等操作。由于WordPress的放任了这个未加密的cookie,因此它很有可能被拦截。
为了验证这点,Zhu拿自己账户的cookie进行了测试,“复制”结果表明,攻击者也可以轻而易举地得逞——无需输入任何信息,甚至绕过了两步验证。
如此一来,攻击者就可以利用这个cookie,执行更改email地址等进一步操作。即使Cookie会过期,但如果用户处于一个开放网络中,其杀伤力就会高很多。
不过,启用了HTTPS的自托管WordPress账户,并不会受到这个漏洞的影响。对于那些未启用HTTPS的网站,请尽量避免在“不安全的网络”中进行账户的访问操作。
[编译自: Neowin, via: Ars Technica]