Un plugin Wordpress memorizza una password SMTP in testo semplice, perché?

Question

Un plugin Wordpress memorizza una password SMTP in testo semplice, perché?

#1 da (4 voti)

1

Un plug-in di Wordpress che sto usando per usare un server SMTP invece della funzione di posta integrata del server sta affermando:

The password [SMTP password] is stored in plain text. We highly recommend you setup your password in your WordPress configuration file for improved security...

Quindi, mentre capisco che questo è diverso da una situazione di accesso in cui è possibile controllare un hash della password e non è necessario memorizzare il testo in chiaro, non esiste un modo migliore per il plug-in di accedere alla password SMTP e non memorizzarla è in testo semplice?

Il loro suggerimento di spostare la posizione della password in chiaro dal database in un file di configurazione fa davvero la differenza - in generale e riguardo a Wordpress?

encryption passwords password-management

posta kontur 29.03.2018 - 09:39

fonte

1 risposta

Leggi altre domande sui tag encryption passwords password-management

Come evitare il "bypass di rilevamento JailBreak" con strumenti Cydia come "Flex 3" ecc.? Un sito Web può rilevare malware o virus presenti sul dispositivo / PC?

score 4 · Answer 1

So while I understand this is different from a login situation where you can check against a password hash and don't have to store the plaintext, is there no better way for the plugin to have access to the SMTP password and not store it in plaintext?

Il plugin deve avere accesso alla semplice password per fare l'autenticazione SMTP. Mentre uno potrebbe cifrare la password, questo sposta solo il problema poiché uno ora avrebbe bisogno di memorizzare la chiave di crittografia da qualche parte accessibile al plugin.

Does their suggestion of shifting the plaintext password's location from the database to a config file make any real difference - in general and in regard to Wordpress?

Nel caso in cui l'iniezione SQL abbia esito positivo, la password potrebbe essere letta dal database. Per leggere un file di configurazione, invece, il server deve essere configurato in modo non sicuro rendendo questo file accessibile dall'esterno o deve essere un altro modo in cui l'utente malintenzionato può accedere ai dati sul server, ad esempio utilizzando una vulnerabilità legata all'esecuzione di codice in modalità remota. Ma in questo caso anche l'attaccante avrà accesso al database poiché le credenziali del database sono anche memorizzate in alcuni file di configurazione.

Pertanto, nessuna delle due soluzioni fornisce una sicurezza assoluta. Ma il rischio di usare un file di configurazione adeguatamente protetto potrebbe essere il più piccolo.