Autenticazione login Jetpack automatica ... Perché non si tratta di un difetto di sicurezza?

Question

Autenticazione login Jetpack automatica ... Perché non si tratta di un difetto di sicurezza?

#1 da (2 voti)
#2 da (1 voti)

1

Sto inquadrando questa domanda vis-a-vi Automatic e Jetpack, ma penso che riguardi qualcosa che personalmente non capisco che sta accadendo in un contesto WordPress, quindi sto postando qui. Non si tratta di automatico però, questo potrebbe essere un caso generale. Quindi portami con me ...

La mia ipotesi è che Automatic / Jetpack abbia un sistema di autenticazione in modo insicuro, quindi mi aspetto che qualcuno qui mi dica cosa non capisco, supponendo che mi sbagli.

Esistono plugin Auth / Signon per molti siti che utilizzano i credenziali di autenticazione di una particolare rete per accedere a un altro. Ad esempio, puoi accedere a bitbucket.org con le tue credenziali di google.com come questa:

Quandofaiclicsulpulsantediaccesso,verraireindirizzatodaunamodalagoogle.com,doveinseriscilatuapassword.Quindigoogleautorizzailtuoaccessoalsitodelcliente,SENZAMAIDARELAPASSWORDALSITODELCLIENTE.Inaltreparole,quandoeffettuoillogininquestomodo,bitbucket.orgnonhamododiottenerelamiapasswordamenocheilmiobrowserolaretenonsianostatiinqualchemodocompromessi.Moltisitihannoquesto,facebook,yahoo,AOLecc. Contrastoaquestatecnicadiaccessochehonotatosusiticomedigest.bps.org.ukjetpack.com

Checapiscodiesseredominipienamentequalificatiospitatidasitiautomaticioalmenocheutilizzanoilprodottojetpack.Nonusoneancheioquindinonsonosicuro...

Quandoprovoafareuncommentosujetpack.com,mivienerichiestalamiapasswordWordPress.comDALdominioJETPACK.COM.Nonsonoreindirizzatoawordpress.comogravatar.com.Eppure,sonologgatoselapasswordècorretta. LamiacomprensionediquestisistemidiautenticazioneutilizzatiècheilcertificatoSSLèverde,èilmetodoconcuil'utentepuòconfermarecheilsitoconcuisistatrattandopuòessereconsideratoaffidabile,purchéildominiosiaconfermato.Puoiaccedereabitbucket.orgconituoicredenzialidigoogle.com,perchéquandotivengonochiesti,ilbrowserdice"google.com" in alto, non in un sito casuale. Che cosa mi impedisce di creare blog tutto il giorno su domini casuali, chiedere credenziali per wordpress.com, controllarli automaticamente e quindi firmare l'utente se i crediti sono buoni e poi rubarli io stesso? Per favore, spiegami perché questo non è un enorme difetto di sicurezza?

crossdomain

posta Jim Maguire 30.08.2017 - 07:04

fonte

2 risposte

Leggi altre domande sui tag crossdomain

hash della password con ampio stato interno Rimozione del supporto di crittografia debole da TLS

score 2 · Answer 1

(Disclaimer: I lavori per Automattic)

Il PO ha ragione ad essere preoccupato, perché qui c'è qualcosa di sbagliato. Ma non è così male come appare in superficie.

WordPress.com è una rete WordPress Multisite , quindi digest.bps.org.uk non è un sito separato da wordpress.com , è solo un alias. È esattamente lo stesso server / base di codice / database che serve entrambi i siti. Una volta che l'applicazione riceve la richiesta, determina quale contenuto / tema / etc mostrare in base al nome host.

Quindi, quando invii le tue credenziali in digest.bps.org.uk , loro stanno andando a wordpress.com , perché digest.bps.org.uk è wordpress.com . Tuttavia, i singoli proprietari dei siti non hanno accesso al codice / server / database, quindi non possono vedere le credenziali inserite.

Il vero problema qui è che istruisce gli utenti ad inserire le loro credenziali su ciò che appare per essere un sito diverso, che sarebbe pericoloso nella maggior parte delle situazioni. Correzione che si trova sulla nostra tabella di marcia.

Facciamo errori, ma ci preoccupiamo profondamente per la sicurezza e la privacy. Se ti imbatti in qualcos'altro che sembra sbagliato in futuro, ci piacerebbe sentirne parlare in privato, in modo che possiamo avere la possibilità di risolverlo prima che le persone malintenzionate lo apprendano. Il nostro sito web descrive il processo per le informazioni sulla sicurezza .

score 1 · Answer 2

Se il dominio è ospitato da Wordpress, non esiste un "dominio incrociato"; il sistema di commenti è controllato da Wordpress. Il dominio non vede mai le credenziali.

Puoi creare una pagina / widget per raccogliere credenziali da utenti incauti? Certo, ma non è niente di nuovo o degno di nota.