هل Favicons عبر المجال مخاطر أمنية؟
https://stackoverflow.com/questions/1831123
-
11-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي موقع من المقالات الإخبارية المقدمة من المستخدمين، وكانت فكرة لدي للحصول على ميزة هي الاستيلاء على Favicon على الموقع المستهدف لعرضه مع الرابط.
سوف تحقق منهجية الاستيلاء على FAVICON لملف Favicon.ico على الخادم الهدف. سيعرض هذا الرمز كصورة مفتوحة أي ثقب؟ يمكن أن يكون هناك نوع من فافيكون الخبيثة؟ من شأنه أن يؤدي تحويل جانب خادم الصورة إلى تنسيق ملف مختلف ينفي المخاطر؟
المحلول
كان هناك ثغرة أمنية في محلل JPEG في النافذة بضع سنوات. من الممكن اكتشاف نقاط الضعف بالتنسيقات الأخرى في المستقبل، لكنني أعتقد أنك آمن جدا لعرضها كما هو الحال، وكن يقظا في تطبيق تصحيحات إذا تم نشر تهديد.
ومع ذلك، لحماية خصوصية المستخدمين الخاص بك، يجب عليك التخزين المؤقت Favicon على الخادم الخاص بك، واسمحوا متصفحات المستخدمين جلبها من هناك. من ناحية أخرى، قد تشعر بعض المواقع بأنك انتهكت الملكية الفكرية من خلال عرض هم فافيسون على لك موقع. مرة أخرى، ربما لن تقلق بشأن الأمر أكثر من اللازم حتى يطلب منك التوقف.
نصائح أخرى
ستكون الخصوصية اهتمامي الرئيسي حقا حيث تستخدم Favicons في بعض الأحيان لتتبع علامة منظمة الصحة العالمية في الصفحة. على الأقل، سيمنع بياناتهم لأنهم يعتقدون أن المزيد من الناس مرجعية لهم أكثر من ذلك حقا.
عندما تستخدم المتصفحات لهم السلوك الموصى به الذي أعتقد أنه يعتمده الآن، هو جلب فقط Favicon عند زيارة الموقع ثم ذاكرة التخزين المؤقت في المتصفح. أود أن أفعل جانب الخادم نفسه من خلال جلب الأيقونة عندما يقدم المستخدم المقالة وذاكرة التخزين المؤقت عليه (وفي الوقت نفسه يمكنك أن تغتنم الفرصة للتحقق من الرابط صالح، استخراج ملخص، إلخ).
هناك دائما بعض المخاطرة بما في ذلك المحتوى الذي ليس لديك أي سيطرة.
على سبيل المثال، إذا كان مصور الصورة في المستعرض X كان يعاني من مشكلة عدم حصانة تجاوز سعة المخزن المؤقت، فإن مالك الموقع الذي يستضيف الصورة المصدر يمكن أن تبديل الرمز الأصلي للحصول على واحدة ضارة. يمكن بعد ذلك إصابة مستخدمي المستخدمين من موقعك دون أن تعرف.
كدليل على الإجابات الأخرى، يجب أن تعرف أن العديد من المواقع (الأكثر؟) هذه الأيام لا تملك ملف favicon.ico في جذر الويب الخاص بهم، ولكن علامة مثل هذا في أتش تي أم أل head:
<link rel="shortcut icon" href="http://www.example.com/images/icon.png">
حيث يمكن أن يكون الرمز بتنسيقات أخرى من .ico.
