web-dev-qa-db-fra.com

Actions et noms nonce disponibles via open source

J'utilise un plugin qui rend son code accessible au public.

Par conséquent, tout le monde peut voir les paramètres $action et $name utilisés pour générer les nonces.

Est-ce que cela rend mon site plus vulnérable puisque cela réduit la sécurité supplémentaire fournie par ces paramètres? Devrais-je donc remplacer ces paramètres par mes propres valeurs pour eux?

Merci.

2
theyuv

Spécifique à nonce, vous n'avez pas à vous inquiéter car un troisième paramètre privé est gardé secret (l'une des clés ajoutées dans votre fichier wp_config.php).

En général, il n’existe pas de "source fermée", et tout le code peut être lu et interprété par toute personne disposée à consacrer du temps. Le fait qu'il soit plus facile de voir comment fonctionne le code ne le rend pas par défaut meilleur ou pire en termes de sécurité, et chaque cas doit être évalué individuellement.

Dans votre cas, par exemple, le calcul du nonce peut être effectué parfaitement, mais il peut être rendu public à cause d'un bogue dans le code.

1
Mark Kaplun