Um usuário perguntou ?
Durante anos, foi possível incluir o ID de usuário e o nome de usuário de contas de usuário criadas em uma nova instalação do WordPress.
Eu costumo corrigir o problema sozinho em functions.php, mas hoje enquanto pensava na nova versão do WP, não pude deixar de me perguntar por que esse bug ainda existe. Faz parte do Metasploit há anos e são necessárias 5 correções de LOC.
Existe uma razão pela qual o WordPress ainda é vulnerável a isso? Poderia ser corrigido em breve para que eu possa parar de remodelar meu tema toda vez que ele for atualizado?
(@otto42)
Administração do WordPress.org
2 anos, 1 mês atrás
A conta de usuário não é considerada uma vulnerabilidade de segurança.
Leia mais aqui:
(@mmaunder)
2 anos, 1 mês atrás
Acordado. Para sua informação, nossa equipe mudou nossa posição sobre isso há algum tempo e ainda estamos trabalhando na atualização da documentação e do produto. Cito-o com medo de que cite nossa pesquisa.
É melhor gastar energia para proteger o processo de autenticação usando senhas fortes e autenticação de dois fatores.
Qualificação.
(@honestrepairadmin)
2 anos, 1 mês atrás
Obrigado por entrar em contato comigo sobre este tema. Entendo que os nomes de usuário são compartilhados e os endereços de e-mail geralmente não são confidenciais (individualmente). No entanto, acho que ainda é um bug que qualquer pessoa na internet possa obter uma rede .csv de usuários e um ID de usuário para qualquer site WordPress.
Ainda estou procurando uma justificativa da equipe WP sobre isso. Vejo que você não acha que esta é uma situação ruim, mas não vejo por quê. Como são necessárias menos de 10 linhas de código para corrigi-lo, acho que “não achamos necessário” é uma pequena solução alternativa.
Além disso, eu diria que estamos violando o GDPR apenas exibindo o nome de usuário em uma página da web. Assumimos que opero um site de entretenimento adulto. Qualquer pessoa que inclua minha lista de usuários receberá informações muito pessoais sobre meus usuários (ou seja, o fato de estarem usando meu site em primeiro lugar).
É claro que os participantes são um pouco diferentes, pois estariam cientes de que essas informações estão sendo compartilhadas.
Mas e se o Google lhe desse o .csv de todos os nomes de usuário dos contadores porque você escolheu alguns? Você não acha que isso seria uma vulnerabilidade?
Além disso, você recebe as ferramentas que um hacker precisa para eliminar um ataque de força bruta. Senhas fortes são ótimas, mas se você tiver uma lista de nomes de usuário à mão, um bruto é bom de qualquer maneira. Existem centenas de listas de palavras. Se desabilitarmos os cálculos, um invasor agora precisa medir não apenas uma senha, mas também um nome de usuário.
O trabalho de escrever 10 LOCs para alimentar milhões de sites é trivial. Entendo perfeitamente por que o WP quer convidar tanto risco para recompensas zero e custos de desenvolvimento. Talvez você possa dar mais detalhes?
(@mmaunder)
2 anos, 1 mês atrás
Provavelmente são mais de 10 linhas de código devido à filosofia geral de que não há problema em filtrar nomes de usuário. Portanto, considere incluir mais de 50.000 plugins e milhares de temas que podem estar vazando e precisam ser corrigidos. Se a filosofia mudar, os pesquisadores podem abrir o CVE em toneladas de código porque agora é considerado “inseguro” em comparação com o núcleo.
(@honestrepairadmin)
2 anos, 1 mês atrás
Posso observar que não quebrei os aplicativos existentes. Essa parece ser a única razão lógica para mim.
Mas se a segurança é apenas uma “visualização”, por que a contagem de usuários está desabilitada no wordpress.org? Eu apenas tentei contar seus usuários, mas não consegui. Provavelmente porque eles adicionaram código semelhante ao que adicionei ao meu WordPress.
Estranho. Por que não posso incluir seus usuários? Achei que era uma tarefa simples, inocente, inocente que serve a um bom propósito!
Não importa o que os usuários ou desenvolvedores pensem que esse “recurso” é uma coisa boa. Os hackers sabem que isso é uma fraqueza e é assim que é usado na natureza. Não importa se os desenvolvedores do WordPress acham que não importa se os hackers em estado selvagem o estão usando. Não importa se há um CVE ou não. Se eles puderem despejar uma lista de usuários com curl e bash, é isso que eles farão.
Eu fecharei esta solicitação graciosamente e continuarei a modificar as funções my.php como sempre faço, mas observe que não concordo com isso sendo documentado como “funcionalidade”.
sim poder Seja 5 vezes na vida de um blog quando um usuário utilizar esta função da forma pretendida para ele. Em contraste se garantido aquele blog estar eles foram afetados por algum script curl + bash ou milhares de atores ruins de Kali + WPScan milhares de vezes. Para mim, não vale o risco.
Esta resposta foi modificada há 2 anos, um mês atrás por. Esta resposta foi modificada há 2 anos, um mês atrás por. Esta resposta foi modificada há 2 anos, um mês atrás por.
(@otto42)
Administração do WordPress.org
2 anos, 1 mês atrás
Mas se a segurança é apenas uma “visualização”, por que a contagem de usuários está desabilitada no wordpress.org?
Porque temos mais de 10 milhões de contas neste site, e se você tentar recuperá-las, o site basicamente não funciona. Mas não estamos limitados em todos os lugares, apenas nesses fóruns de suporte específicos.
Pode haver 5 ocasiões na vida de um blog em que um usuário usa esse recurso da maneira como foi planejado para ele.
O novo editor o usa. Carrega uma lista de usuários que permite alterar o autor de uma postagem, por meio da API REST.
Isto foi útil?
0 / 0