应用程序开发人员也有责任识别Cookie是否具有安全标志
开源WordPress博客和内容管理系统技术可能受到遭受不安全Cookie攻击的攻击者的威胁。电子前沿基金会(EFF)的技术人员Yan Zhu在5月23日的博客文章中警告了WordPress中不安全的cookie带来的风险。
“就像妈妈一直说的那样,您应该在敏感的cookie上设置'安全'标志,以使它们永远不会以纯文本形式发送,”朱写道。
通常,Cookie在WordPress和网站中广泛使用,以存储用户首选项和凭据。“即使网站具有通过安全套接字层(SSL)加密保护的登录,应用程序开发人员也有责任识别Cookie是否具有“安全标志”,从而通过SSL发送Cookie信息。 。
在没有适当的cookie安全标记的情况下,Zhu解释说她能够登录到另一个用户的帐户。在Zhu的研究中,她发现cookie在每次用户会话后都不会过期,这意味着可以重复使用该cookie重复登录到WordPress用户的帐户。
对于在线安全和隐私领域,Zhu并不陌生。她目前是HTTPS无处不在浏览器扩展程序的维护者,该扩展程序将用户定向到网站的SSL版本,以提供更好的安全性。Zhu还是EFF的“ 隐私徽章”工作的维护者,该工作旨在帮助用户被在线跟踪。隐私权标志工作与Yahoo最近放弃的“不跟踪互联网标准”工作有关。
朱进行的研究是针对WordPress.com托管站点的,该站点由WordPress开源项目的主要赞助商Automattic经营。WordPress站点还可以由站点所有者使用开源代码自行托管。Zhu自己的博客Discrete Blogarithm公开了Cookie的风险,她在开源WordPress软件上运行该博客。
从WordPress的角度来看,可以做很多事情来提高与Cookie相关的安全性。
在给eWEEK的电子邮件中,开源WordPress开发人员Andrew Nacin解释说WordPress隔离其cookie以确保安全。
Nacin说:“默认情况下,前端cookie是通过HTTP传送的,仅用于标识用户,以用于登录的工具栏,主题中的编辑帖子链接等。” “如果用户强迫仪表板通过SSL使用,则仅管理员cookie会附带安全标志。”
Nacin说,只有管理员cookie才能访问仪表板和更改设置,管理帖子或编辑用户的个人资料。
Nacin告诉Zhu,在下一个WordPress版本中,SSL支持将得到改善,会话结束后,授权cookie将失效,以进一步保护用户。