可通过开源获得的随机数操作和名称

时间:2016-10-19 作者:theyuv

我正在使用一个插件,它可以公开其代码。

因此,任何人都可以看到$action$name 用于生成nonce的参数。

这是否会使我的站点更容易受到攻击,因为这会降低这些参数提供的附加安全性?因此,我是否应该用自己的值替换这些参数?

谢谢

1 个回复
SO网友:Mark Kaplun

对于nonce,无需担心,因为还有第三个私有参数是保密的(wp\\u config.php文件中添加的密钥之一)。

一般来说,没有“封闭源代码”这样的东西,任何愿意花时间的人都可以阅读和解释所有代码。您更容易了解代码的工作原理,这一事实并不会使其在默认情况下更好或更差的安全性,并且需要根据其自身的优点对每种情况进行评估。

例如,在您的例子中,nonce的计算可能做得很好,但由于代码中存在一些错误,它可能会被公开。

标签: forms   security   nonce   verification   小码农  

相关推荐

Wordpress: Adding Security

关于这个答案,添加文件调试是正确的。以这种方式登录?RewriteRule (?:debug|readme|license|changelog|-config|-sample)\\.(?:php|md|txt|html|log?) - [R=404,NC,L] 亲切的问候