No entiendo la seguridad de nonce… | WordPress.org España

Resuelto José Manuel Ortiz Sánchez
(@josemortizs)

hace 4 años, 6 meses

No termino de entender la seguridad que aporta nonce, si se trata de un número que se genera en base a una serie de palabras y, al publicar el plugin dichas palabras quedan expuestas, ¿es seguro?.

Estoy seguro de que es mi ignorancia la que habla, ¿podéis ayudarme?, por favor, que alguien me lo explique.

Viendo 2 respuestas - de la 1 a la 2 (de un total de 2)

Moderador kallookoo
(@kallookoo)

hace 4 años, 6 meses

Hola @josemortizs

Puedes leerte este post para hacerte una idea de como funciona, etc… https://ayudawp.com/nonces-wordpress/

Y para extenderlo un poco, independientemente de que action, name uses la key (NONCE_KEY) solo existe en el wp-config.php. Mirate el codigo de wp_create_nonce y veras que usa wp_salt que usa la key que menciono.

Tu tienes que asegurate de hacer la verificacion y que sea apropiado el valor y obviamente usar la funcion apropiadas; wp_verify_nonce, check_admin_referer o check_ajax_referer

Iniciador del debate José Manuel Ortiz Sánchez
(@josemortizs)

hace 4 años, 6 meses

Buenos días @kallookoo, gracias por tu respuesta. Tras leer el artículo que me enlazas me ha quedado todo más claro.

El uso de wp_salt y el hecho de que la clave sea temporal son cosas que desconocía.

¡Muchas gracias!

Viendo 2 respuestas - de la 1 a la 2 (de un total de 2)

El debate ‘No entiendo la seguridad de nonce…’ está cerrado a nuevas respuestas.

Etiquetas

En: Plugins y Hacks
2 respuestas
2 participantes
Última respuesta de: José Manuel Ortiz Sánchez
Última actividad: hace 4 años, 6 meses
Estado: resuelto

Debates

Debates populares

Debates sin respuestas

Debates que no son soporte

Debates resueltos

Debates no resueltos

Todos los debates