Vorsicht vor unsicherem Cookie

WP Cookie ermöglicht einfachen Login durch Fremde

Share on Facebook0Tweet about this on Twitter12Share on Google+0Share on LinkedIn0Email this to someone

So schnell kann es gehen: ein fehlerhaftes WordPress Cookie kann Fremden das Einloggen und Verwenden des eigenen WP-Accounts extrem erleichtern – vor allem innerhalb öffentlicher WLAN-Netze und anderen unsicheren Netzwerken. Wir erklären euch, was es mit dem Cookie auf sich hat und worauf ihr jetzt achten solltet.

Datenschutz im Internet

Vorsicht beim Einloggen: ein unverschlüsseltes WP Cookie macht Hackern den Datenklau einfach.

Sicherheitslücke entdeckt

Yan Zhu, eine Technologin der amerikanischen Non-Profit-Organisation Electronic Frontier Foundation, die sich für die Grundrechte in der digitalen Welt einsetzt, hat kürzlich herausgefunden, dass die WordPress Server einen Key Browser Cookie in Klartext anstatt in verschlüsselter Form – wie es eigentlich die gängigen Sicherheitsvorkehrungen vorgeben – verschicken. Das Cookie mit dem Namen „wordpress_logged_in“ wird am Ende einer WordPress-Authentifizierung, also nachdem man als Nutzer seinen WP Username und sein Passwort eingegeben hat, über klares HTTP gesendet. So bald ein Browser das Cookie besitzt, kann der Benutzer des Browsers auf leichte Art und Weise Zugriff auf private WordPress-Inhalte und -Rechte wie Nachrichten, Benutzereinstellungen oder das Veröffentlichen von Blogbeiträgen bekommen. Durch die unverschlüsselte Übertragung des Cookies wird der eigene WordPress-Account somit besonders anfällig für Datenmissbrauch und Hacker-Versuche.

Einloggen ohne Login-Daten

Auf ihrem Blog beschreibt Zhu Schritt für Schritt, wie einfach ein solcher Datendiebstahl ablaufen kann: sie nahm das Cookie von ihrem eigenen Account, allerdings auf die gleiche Art und Weise, wie ein Hacker es könnte, und setzte es in ein neues Browser Profil. Als sie auf die WordPress Seite wechselte, war sie sofort eingeloggt – ohne ihre Login-Daten neu einzugeben und trotz der installierten und sicher geltenden „Two-Factor Authentication“ (zusätzliche Authentifizierung durch App bzw. Mobilgerät). So hätte sie nicht nur Blogbeiträge und Kommentare verfassen können, auch das Ändern der zugehörigen E-Mailadresse wäre mit Hilfe des Cookies möglich gewesen. Das heißt: Hacker haben durch das Cookie die Fähigkeit, aufgrund der Sicherheitslücke einem Benutzer seine kompletten Zugriffsrechte auf sein WordPress Konto zu nehmen! Denn wenn der Kontoinhaber seinen Einmal-Zugangscode anfragt, um Zugriff zu bekommen, könnte auch dieser direkt an eine Nummer, die vom Hacker vorgegeben wird, geschickt werden. Zhu macht auf ihrem Blog außerdem darauf aufmerksam, dass das Cookie drei Jahre lang erhalten bleibt.

Auch Andrew Nacin, WordPress-Chefentwickler, bestätigte nun kürzlich in einem Tweed die Langlebigkeit der Cookies und ihre Wiedergabemöglichkeit bis zum Ablauf, allerdings soll das Problem beim nächsten WordPress Release behoben werden. Doch auch, wenn man mit Hilfe des Cookies zwar keine Password-Änderungen innerhalb des WP-Accounts vornehmen konnte (dafür ist ein separates, verschlüsseltes Authentifizierungscookie relevant), sind die Sicherheitslücken und die Auswirkungen eines einzigen Cookies doch recht erschreckend. Aus diesem Grund solltet ihr zumindest bis zum nächsten WordPress Update etwas vorsichtig sein, wenn ihr WordPress besucht und mit eurem Account eingeloggt seid – vor allem wenn ihr euch innerhalb eines nicht vertrauenswürdigem lokalen Netzwerk befindet!

Bild: Maksim Kabakou/shutterstock.com


Katja

Katja

Design fasziniert mich. Daher entdecke ich besonders gerne neue Themes und hübsche Plugins, mit denen man die Optik einer Seite aufwerten kann. Aber auch praktische Tipps und Tricks rund um WordPress finde ich spannend.
Katja
Share on Facebook0Tweet about this on Twitter12Share on Google+0Share on LinkedIn0Email this to someone
Kommentare zu "WP Cookie ermöglicht einfachen Login durch Fremde"
  1. Upon schrieb am 27. Mai 2014, um 14:54 Uhr:

    Hilfreiche Info die wir unseren Kunden schnell weitergeben. Danke!! Ich vermeide eh jegliche Logins die nicht über meine Geräte laufen. Security first, leider sind vielzuviele da etwas nachlässig.

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..