Som ni kanske noterat har de flesta av kommentatorerna på bloggen ingen profilbild. Vill du ha en avatar ska du registrera denna via den WordPresskpplade tjänsten Gravatar.
Exempel på kommentar med avatar via Gravatar
Du behöver registrera dig på Gravatar med samma e-postadress som här på bloggen och välja eller ladda upp en avatarbild på tjänsten, så kommer den visas intill din kommentar. Detta är helt frivilligt. Din e-postadress kommer anonymiseras och användas för att hämta din avatar.
Författaren Lars Wilderäng driver bloggen Cornucopia? sedan 2008 och har publicerat technothrillers, sciencefictionromaner eller thrillers. I juni 2025 kom hans fjortonde roman Jägarhjärta ut.
Länken till Gravatar är alltså bara en enkel md5-hash så en tänkbar attack vore om några illvilliga samlade epostadresser md5-hashade till massa meningsmotståndare och sedan crawlar alla kommentarsfält där Gravatar används och kollar om länken innehåller någon av md5-hasharnna.
Om de letar efter t ex [email protected] så letar de bara efter länkar till Gravatar som innehåller strängen “e1e73fb68d954ebe083a40801f504a4e “. Får de en träff så vet de att en person med tillgång till eposten [email protected] skapat Gravatar-bilden och därmed också skrivit kommentaren.
Konstigt att gravatar inte gått över till någon HMAC-lösning med unik key för varje site. Skulle ju försvåra avsevärt, men krångla till det för site-admins som måste regga sin site hos dem.
Även utan konto hos gravatar skickar ju WordPress md5:an av allas mailadresser, så det är ju lika långt som brett ändå – man kan ju lika gärna ha en bild menar jag.
Att cornucopia kan se mailen är ju en sak men att alla som besöker bloggen kan få reda på epost-adresser bara genom att kolla på länken till Gravatar är ju lite väl öppet.
13 kommentarer
Testar att skriva här. Utan avatar dock.
Test
Test 1
Borde gå att kunna koppla upp igen hyffsat lätt så kanske inte för den som vill vara helt anonym
Gå bara till din profil och klicka på Profile Picture så kommer du till gravatar.
test 123
Testas!
Check!
Så där.
anonymiseras är nog ett starkt ord för md5 hash.
Om man vill vara anonym så ska man nog vara försiktig med att använda sin epostadress.
https://en.gravatar.com/site/check/
Länken till Gravatar är alltså bara en enkel md5-hash så en tänkbar attack vore om några illvilliga samlade epostadresser md5-hashade till massa meningsmotståndare och sedan crawlar alla kommentarsfält där Gravatar används och kollar om länken innehåller någon av md5-hasharnna.
Om de letar efter t ex [email protected] så letar de bara efter länkar till Gravatar som innehåller strängen “e1e73fb68d954ebe083a40801f504a4e “. Får de en träff så vet de att en person med tillgång till eposten [email protected] skapat Gravatar-bilden och därmed också skrivit kommentaren.
Konstigt att gravatar inte gått över till någon HMAC-lösning med unik key för varje site. Skulle ju försvåra avsevärt, men krångla till det för site-admins som måste regga sin site hos dem.
Även utan konto hos gravatar skickar ju WordPress md5:an av allas mailadresser, så det är ju lika långt som brett ändå – man kan ju lika gärna ha en bild menar jag.
Ja. Det borde informeras om.
Att cornucopia kan se mailen är ju en sak men att alla som besöker bloggen kan få reda på epost-adresser bara genom att kolla på länken till Gravatar är ju lite väl öppet.