Der er offentliggjort et sikkerhedshul i ovennævnte plugin. Hullet gælder også for såkaldte "unauthorized sessions", hvilket betyder at man ikke behøver være logget på for at kunne udnytte fejlen. Sikkerhedshullet er af typen CSRF, hvilket står for Cross Site Request Forgery. Det betyder at forespørgsler fra andre websites til dit website bliver accepteret ved at sætte programkode ind på steder, hvor det egentligt ikke burde kunne lade sig gøre. Det er derfor en rigtig god idé (læs: det er en rigtig dum plan ikke at gøre det) at opdatere plugin'et, hvis versionsnummeret er under 1.6. Desuden vil jeg stærkt anbefale at du beskytter dit website generelt mod CSRF. I mit blogindlæg Ansvaret er dit – din udbyder vasker sine hænder i uskyld tager jeg emnet også meget kort op - og kommer med en løsning. Albert van Harten |
Fint indlæg. Bid især mærke i linket til "Ansvaret er dit". Det kan anbefales af alle nørder, at læse dette blogindlæg. Her lærte jeg et par ting om .htaccess - troede ellers jeg vidste det hele :-)
hilsen Søren