Autenticación de inicio de sesión de Jetpack automática ... ¿Por qué no es esto una falla de seguridad?

1

Estoy formulando esta pregunta con Automatic y Jetpack, pero creo que se trata de algo que no entiendo personalmente que esté sucediendo en un contexto de WordPress, por lo que estoy publicando aquí. No se trata de Automático, sin embargo, este podría ser un caso general. Así que ten paciencia conmigo ...

Mi hipótesis es que Automatic / Jetpack tiene un sistema de autenticación extremadamente inseguro, por lo que espero que alguien aquí me diga lo que no entiendo, asumiendo que estoy equivocado.

Hay muchos complementos de autenticación / inicio de sesión para que muchos sitios utilicen los credenciales de autenticación de una red particular para iniciar sesión en otro. Por ejemplo, puede iniciar sesión en bitbucket.org con sus credenciales de google.com como esta:

Alhacerclicenelbotóndeiniciodesesión,unmodoloredirigeagoogle.com,dondeingresasucontraseña.Luego,Googleautorizasuiniciodesesiónenelsitiodelcliente,SINNUNCADARSUCONTRASEÑAALSITIODELCLIENTE.Enotraspalabras,cuandoiniciosesióndeestamanera,bitbucket.orgnotieneformadeobtenermicontraseñaamenosqueminavegadorolaredsehayanvistocomprometidosdealgunamanera.Muchossitiostienenesto,facebook,yahoo,AOLetc. Contrasteconestatécnicadeiniciodesesiónquenotéensitioscomodigest.bps.org.ukjetpack.com

Comprendoquesondominiostotalmentecalificadosalojadosporsitiosautomáticos,oalmenosenlosqueseutilizaelproductojetpack.Yotampocouso,asíquenoestoyseguro...

Cuandointentohaceruncomentarioenjetpack.com,semesolicitamicontraseñadeWordPress.comDESDEELdominioJETPACK.COM.Noestoyredirigidoawordpress.comogravatar.com.Sinembargo,estoyconectadosilacontraseñaescorrecta. MicomprensióndeestossistemasdeautenticaciónutilizadosesqueelcertificadoSSLesverde,eselmétodoporelcualelusuariopuedeconfirmarqueelsitioconelqueestántrabajandopuedeserconfiable,siempreycuandoeldominioestéconfirmado.Puedeiniciarsesiónenbitbucket.orgconsuscredencialesdegoogle.com,porquecuandoselesolicitan,elnavegadordice"google.com" en la parte superior, no en un sitio aleatorio. ¿Qué me impide configurar blogs todo el día en dominios aleatorios, solicitar credenciales de wordpress.com, verificarlos automáticamente y luego iniciar sesión en el usuario si los credenciales son buenos y luego robarlos? Por favor, explícame por qué esto no es un error de seguridad masivo?

    
pregunta Jim Maguire 30.08.2017 - 07:04
fuente

2 respuestas

2

(Descargo de responsabilidad: trabajo para Automattic)

El OP tiene razón en preocuparse, porque hay algo mal aquí. Pero, no es tan malo como parece en la superficie.

WordPress.com es una red WordPress Multisite , por lo que digest.bps.org.uk no es un sitio separado de wordpress.com , es solo un alias. Es exactamente el mismo servidor / base de código / base de datos que sirve a ambos sitios. Una vez que la aplicación recibe la solicitud, determina qué contenido / tema / etc se debe mostrar según el nombre de host.

Entonces, cuando envía sus credenciales a digest.bps.org.uk , van a wordpress.com , porque digest.bps.org.uk es wordpress.com . Sin embargo, los propietarios de sitios individuales no tienen acceso al código / servidores / base de datos, por lo que no pueden ver las credenciales que se ingresaron.

El problema real aquí es que entrena a los usuarios a ingresar sus credenciales en lo que parece para ser un sitio diferente, lo que sería peligroso en la mayoría de las situaciones. Arreglo que está en nuestra hoja de ruta.

Cometemos errores, pero nos preocupamos profundamente por la seguridad y la privacidad. Si se encuentra con algo más que parezca incorrecto en el futuro, nos encantaría escucharlo en privado primero, para que podamos tener la oportunidad de solucionarlo antes de que las personas con intenciones maliciosas lo aprendan. Nuestro sitio web describe el proceso de divulgación de seguridad .

    
respondido por el Ian Dunn 01.09.2017 - 19:15
fuente
1

Si el dominio está alojado en Wordpress, entonces no hay "dominio cruzado"; El sistema de comentarios está controlado por Wordpress. El dominio nunca ve las credenciales.

¿Puedes crear una página / widget para recopilar creditos de usuarios incautos? Claro, pero eso no es nada nuevo ni digno de mención.

    
respondido por el schroeder 31.08.2017 - 17:21
fuente

Lea otras preguntas en las etiquetas