close
Kaspersky Endpoint Security

Welcome to

Kaspersky Endpoint Security


By Kaspersky Endpoint Security


WordPress.com Sicherheitslücke stößt Debatte über Responsible Disclosure



Ende vergangener Woche Yan Zhu, ein Personal-Technologe für die öffentlich eine Sicherheitslücke sie mit WordPress.com entdeckt und wie sie mit Cookies umgeht. Genauer gesagt entdeckte sie die "wordpress_logged_in" Cookie zu einem Wordpress-Authentifizierung Endpunkt im Klartext gesendet werden. Sie konnte den authentifizierten Cookie zu verwenden, Blog-Posts, Private Beiträge, Post Kommentare zu anderen Blogs zu veröffentlichen, sehen ihre Statistiken und die damit verbundenen administrativen Aufgaben, die nicht die Protokollierung in einer zweiten Zeit erforderte.

Bildnachweis: -

Zhu in Kontakt gebracht und so die Richtung innerhalb der sagen. Innerhalb von 24 Stunden nach Benachrichtigung Automattic, Zhu öffentlich bekannt, die Verwundbarkeit auf ihrem Blog. Die Informationen wurden aufgenommen durch was Millionen von Lesern über die Sicherheitslücke zu finden, bevor ein Update verfügbar war. Was war einmal eine gute Tat ist jetzt ein Beispiel für unverantwortlich Veröffentlichung.

Laut Wikipedia ist definiert als:

Ein Begriff, ein Modell zu beschreiben. Es ist wie mit dem Zusatz, dass alle Beteiligten über einen Zeitraum von Zeit zu lassen, damit einverstanden, für die sein, bevor die Details zu veröffentlichen. Entwickler von Hard- und Software erfordern oft Zeit und Ressourcen, um ihre Fehler zu reparieren.

Wenn warum sie Automattic mehr Zeit nicht geben, Zhu antwortete:

Doch in diesem Fall glaube ich, dass 24 Stunden eine Menge Zeit war. Der Hauptgrund dafür ist, dass die SSL-Unterstützung heute weithin als die nackten * Mindest * Sicherheitsgarantie akzeptiert wird, dass eine Website für private Benutzerinformationen zur Verfügung stellen sollte, und dies ist im Wesentlichen um einen Fehler in Wordpress die SSL-Unterstützung. wurde "Nur Auth Info über SSL senden" die grundlegendsten Sicherheitsempfehlung an Website-Betreiber für die letzten 15+ Jahren.

Obwohl sie werden versuchen, den Reporter innerhalb von 24 Stunden zu kontaktieren, würde ich sie mindestens 72. Die Wordpress-Kern-Handbuch heißt es geben, dass in allen Fällen sollten Sie die Details nicht veröffentlichen. Die Automattic Einreichungsformular heißt es: "Wenn Sie eine Sicherheitslücke in einem unserer Dienstleistungen finden passieren, würden wir uns freuen uns öffentlich vor Offenlegung der Frage wissen zu lassen." Vielleicht ist das Einreichungsformular Automattic auch sollte verlangen, dass Reporter nicht die Details zu veröffentlichen.

Wenn Offenlegung Wird Irresponsible

Jedes Mal, wenn eine Sicherheitslücke offenbart wird, bevor es in einem angemessenen Zeitrahmen festgelegt ist, ist es unverantwortlich Veröffentlichung. Natürlich, was ist ein angemessener Zeitrahmen subjektiv ist, aber der gesunde Menschenverstand diktiert mindestens 3-5 Tage zurück, eine Antwort zu hören. Außerdem müssen sie den Bericht, um mit einem Fix zu kommen überprüfen und zu vervielfältigen. Auch wenn das Problem bereits Angreifer bekannt ist oder ist leicht zu finden, macht es nicht in Ordnung, es es durch die Medien bekannt zu machen. Diese Art von Aktionen die Flammen und machen den Reporter aussehen wie die schlechte Person.

Wenn es darum geht, wie lange eines Zeitrahmens für die Öffentlichkeit akzeptabel ist, bevor sie, jeder hat wahrscheinlich eine andere Antwort. Es hängt auch davon ab, was hinter den Kulissen weitergegangen ist. Wenn zum Beispiel wurde berichtet, und wenn reagierte das Unternehmen zurück? Haben sie versprechen einen Fix, aber habe es nicht in Monaten veröffentlicht? In seltenen Fällen eine Schwachstelle publik ist die einzige Möglichkeit, ein Unternehmen zu handeln, zu erhalten, aber sollte als die nukleare Option behandelt werden.

In den Kommentaren von Zhu des Artikels, für den Bericht mit der Aufforderung, sie mehr Zeit für Automattic handeln lassen.

Vielen Dank für die Suche nach und die Untersuchung dieses Problems. Wenn es ein nächstes Mal gibt, würde ich schätzen es auf jeden Fall, wenn Sie uns ein paar Tage das nächste Mal mehr gab Nutzer zu schützen, bevor es öffentlich ist.

Glauben Sie, Zhu für die Veröffentlichung von Details der Sicherheitslücke zu früh in die falsche oder betrug 24 Stunden genügend Zeit für Automattic ein Update zu implementieren? Wenn Sie eine Sicherheitslücke entdeckt und berichtet an den Lieferanten, was passieren würde, müssen Sie davon zu überzeugen, dass die öffentlich bekannt ist der einzige Weg, um es reparieren zu lassen?

Wer ist Jeff Chandler Jeff Chandler ist ein Wordpress-Typ in der Buckeye State. Gastautor für WPTavern. Seit 2007 Gastgeber des Wordpress-Weekly Podcast über Wordpress zu schreiben.
Teile das:
Wie folgt aus: Wie Laden ...
verbunden

Kaspersky Endpoint Security 2014     Endpoint-Security-10 Fenster 10

Categories and tags