Η Yan Zhu, μια ερευνήτρια ασφαλείας από το Electronic Frontier Foundation (EFF) παρατήρησε ότι τα ιστολόγια που φιλοξενούνται στο WοrdPress.com αποστείλουν τα cookies ταυτότητας του χρήστη σε μορφή απλού κειμένου και όχι κρυπτογραφημένα. Έτσι, ακόμα και ένα Script Kiddie μπορεί να υποκλέψει τις πληροφορίες σύνδεσης.
Όταν οι χρήστες του Wοrdpress συνδέονται στο λογαριασμό τους, οι servers της WordPress.com διανέμουν ένα cookie με το όνομα «wordpress_logged_in» στο πρόγραμμα περιήγησης των χρηστών, όπως αναφέρει σ Yan Zhu στο blog της. Η ερευνήτρια παρατήρησε ότι αυτό το cookie ελέγχου ταυτότητας αποστέλλεται μέσω HTTP, με έναν πολύ ανασφαλή τρόπο.
Κάποιος κακόβουλος χρήστης μπορεί να αρπάξει εύκολα τα HTTP cookies αν χρησιμοποιεί το ίδιο δίκτυο Wi-Fi, χρησιμοποιώντας κάποια εξειδικευμένα εργαλεία, όπως το Firesheep, ένα εργαλείο sniffing δικτύων. Το cookie μπορεί να προστεθεί σε οποιοδήποτε άλλο πρόγραμμα περιήγησης στο Web και θα δώσει στον hacker παράνομη πρόσβαση στον WοrdPress λογαριασμό του θύματος.
Τα καλά νέα είναι ότι, αν έχετε μια ιστοσελίδα Wοrdpress που φιλοξενείται σε server που υποστηρίζει HTTPS, τότε το blog σας δεν είναι ευάλωτο στο ελάττωμα επαναχρησιμοποίησης των cookies.
πηγη
