Пароль открытого текста WordPress хранится в памяти браузера

Я проводил тестирование проникновения на стандартной установке WordPress. Постоянное беспокойство, которое я вижу, заключается в том, что WP хранит пароли в виде открытого текста в памяти браузера.

Воспроизвести:

  1. Войдите в WordPress и выйдите из системы. Закройте эту вкладку, но оставьте Chrome открытым.

  2. Создайте файл дампа памяти браузера.

  3. Откройте файл дампа и найдите пароль, после чего вы увидите его открытым текстом.

Как я могу предотвратить это?

Независимо от контекста того, кто действительно просматривает пароль, использование открытого текста не может быть хорошей практикой?

Ссылка: https://cwe.mitre.org/data/definitions/316.html

1 ответ

"Как я могу предотвратить это?"

Это не проблема WordPress, так как WordPress не контролирует сборку мусора клиента. Пароль исчезнет через короткое время, когда для этой задачи будет доступен механизм JavaScript.

"использование открытого текста не может быть хорошей практикой?"

Браузер передает открытый текстовый пароль в WordPress, так работает аутентификация по имени пользователя и паролю (также называемая базовой аутентификацией).

Другие вопросы по тегам