WordPress-плагин AIOS писал в БД пароли в виде простого текста

WordPress-плагин AIOS писал в БД пароли в виде простого текста

WordPress-плагин AIOS писал в БД пароли в виде простого текста

Плагин для сайтов на WordPress под названием All-In-One Security (AIOS), установленный более чем на миллионе веб-ресурсов, логировал пароли в виде простого текста. Иронично, что предназначенный для дополнительной защиты сайтов плагин сам и же и создавал риски.

Судя по всему, простым текстом в базу данных писались пароли, которые пользователи вводили при попытке войти в аккаунт.

Сам плагин AIOS, разрабатываемый компанией Updraft, предлагает владельцам WordPress-сайтов функциональность WAF (web application firewall — файрвол уровня веб-приложения), защиту контента и логинов.

Авторы All-In-One Security обещают, что их разработка остановит вредоносных ботов и защитит ресурс от брутфорса.

Приблизительно три недели назад один из пользователей сообщил о странном поведении версии AIOS v5.1.9: плагин не только записывает попытки входа в учётные записи в таблицу aiowps_audit_log, но и фиксирует вводимые пароли. Юзер указывал на нарушение стандартов и законов, включая NIST 800-63 3, ISO 27000 и GDPR.

 

Представители Updraft в ответ на замечания объяснили, что это «известный баг» и пообещали предоставить фикс с выходом следующей версии. Своё обещание разработчики сдержали, так как 11 июля вышел релиз под номером 5.2.0, в котором проблема решена.

Домен t.me вернули в DNS, но Telegram оживет не у всех сразу

Короткий домен Telegram t.me снова вернулся в строй. Реестр доменной зоны .me восстановил его DNS-записи, а статус serverHold, из-за которого адрес фактически исчез из интернета, был снят. Это значит, что ссылки формата t.me снова должны открываться в браузерах.

Правда, не мгновенно у всех: DNS-записи кешируются у провайдеров и разных служб, поэтому полное восстановление может занять до 24 часов.

Ранее домен внезапно исключили из DNS на уровне реестра .me. В WHOIS у него появился статус serverHold, который устанавливает не регистратор, а оператор доменной зоны. В результате короткие ссылки Telegram перестали работать по всему миру, хотя сам мессенджер продолжал функционировать штатно.

На случай затяжного сбоя Telegram уже начал подменять ссылки t.me на telegram.me внутри своих приложений. Старые адреса при этом продолжали открываться непосредственно в мессенджере, но браузеры отправляли пользователей в цифровую пустоту.

Причины отключения домена до сих пор официально не названы. Неизвестно, был ли это технический сбой, юридический вопрос или ручное решение оператора реестра.

Теперь t.me формально вернулся. Осталось дождаться, пока об этом узнают DNS-серверы по всему миру.

RSS: Новости на портале Anti-Malware.ru