Коментарі для запису: IAA, Redirector та XSS уразливості в WordPress

від: MustLive

Sun, 03 Jun 2012 20:59:30 +0000

то, я думаю, они делают это сознательно.

сисадмин

Так и есть. С одной стороны им лень (они сами до сих пор с 2005 года не сделали капчу, под WordPress разработаны лишь капчи сторонних разработчиков), с другой стороны - они дыроделы и любят создавать уязвимости, том числе и за счёт отсутствия капчи во всех тех функционалах где она могла бы быть использована для защиты (а таких дыр много, о чём я не раз писал). А с третьей стороны они думает и об юзабилити, поэтому не решаются устанавливать капчу (в том числе учитывая первые два аспекта, они пытаются свою лень и нежелание следить за безопасностью “аргументировать” заботой об юзабилити).

При этом в тех местах где капчу для защиты они не ставят, они и других защитных механизмом не делают - или вообще игнорируют, или через многие годы, после многочисленных напоминаний со стороны секюрити исследователей, могут начать что-то исправлять. Так что, без сомнения, они делают это сознательно (и забота о пользователях в ущерб безопасности лишь третья причина подобных действий). В некоторых случаях эти дыры могут исправить пользователи - установкой капчи - но у них те же проблемы, что и у разработчиков WP (поэтому мало кто ставит капчу). Так что традиционно юзабилити более приоритетная, чем безопасность.

Так званое удобство для читателей не должно быть в ущерб безопасности. И естественно многие уязвимости, которые можно исправить или “минимизировать” с помощью капчи, также можно решить другими методами. Главное, это делать, а ни забивать, как это типично для разработчиков WP и многих других движков.

Касательно Opera, то вопросы стоит задавать в комментариях к соответствующей записи. Это я тестировал в версии 10.62, поэтому и указана эта версия.

від: MustLive

Tue, 15 May 2012 16:38:12 +0000

ss, звичайно я можу про це написати. І звичайно варто писати коментарі по темі .

В мене є багато планів стосовно статей (потрібно лише час для них знаходити), але я додам цю тему по мого переліку запланованих статей. Раз є такий запит від читачів.

Атака HTTP Verb Tampering не є поширеною, тому що уразливості (некоректні налаштування), які до неї призводять, дуже рідкі. Наприклад, мені вони ні разу не траплялися. Тому й не було потреби про них писати, зате я писав про інші уразливості/атаки, в тому числі й рідкі, які мені траплялися під час аудитів і пентестів.

від: ss

Fri, 11 May 2012 18:11:03 +0000

Добрий день.
А ви могли б розповісти докладніше про такий вид атаки як “HTTP Verb Tampering”?
Дуже мало російськомовних і вже тим більше україномовних статей на цю тему. Та й ті що є, більше розраховані на підготовлених фахівців.
Було б добре, якби ви написали статтю на цю тему, з прикладами.
Вибачте що коментар не по темі.

від: сисадмин

Thu, 10 May 2012 20:14:12 +0000

Кстати, актуальная на данный момент версия оперы - 11.62. Почему в статье делается упор именно на версию 10.62? Или это опечатка?

від: сисадмин

Thu, 10 May 2012 20:11:50 +0000

Что касается “розробники досі не встановили капчу в форму коментарів WP”, то, я думаю, они делают это сознательно. Потому что капча далеко не всем подходит, многие блогеры не готовы жертвовать удобством своих читателей, заставляя их напрягаться над капчей.