Ist Cross-Domain Favicons ein Sicherheitsrisiko?

StackOverflow https://stackoverflow.com/questions/1831123

  •  11-09-2019
  •  | 
  •  

Frage

Ich habe eine Seite von Benutzern übermittelten Nachrichten Artikeln, und eine Idee, die ich für eine Funktion hatte, war das Favicon auf der Zielstelle greifen mit dem Link angezeigt werden entlang.

Die Methodik für das Favicon greifen würde für die favicon.ico-Datei auf dem Zielserver zu überprüfen. Würde die Anzeige dieses Symbols als ein Bild jedes Loch öffnen? Könnte es irgendeine Art von böswilligen Favicon sein? Würde die Bild Server-Seite zu einem anderen Dateiformat negate Risiko konvertieren?

War es hilfreich?

Lösung

Es gab eine Sicherheitslücke im JPEG Das Fenster Parser ein paar Jahre zurück. Es ist möglich, dass Schwachstellen in anderen Formaten in der Zukunft entdeckt werden könnten, aber ich denke, dass Sie ziemlich sicher sind, um sie anzuzeigen, wie sie ist, und wachsam sein Patches bei der Anwendung, wenn eine Bedrohung bekannt gemacht wird.

Um jedoch die Privatsphäre Ihrer Benutzer zu schützen, sollten Sie die Favicon auf dem Server zwischengespeichert werden, und lassen Sie die Browser der User es von dort zu holen. Auf der anderen Seite fühlen sich einige Seiten könnten Sie ihr geistiges Eigentum verletzt haben, indem die Anzeige ihren Favicon auf Ihre Website. Auch hier würde ich wahrscheinlich nicht zu viele Sorgen machen, bis sie Sie bitten, zu stoppen.

Andere Tipps

Datenschutz würde meine Hauptsorge sein wirklich als favicons manchmal für das Tracking verwendet werden, die eine Seite der Lesezeichen hinzufügen. Zumindest wäre es ihre Daten Schraube, wie sie denken würden mehr Menschen bookmarking sie sind als wirklich sind.

Wenn Browser das empfohlene Verhalten zu benutzen, die ich denke, die meisten jetzt angenommen wird, ist nur das Favicon zu holen, wenn Sie die Website besuchen und dann Cache im Browser. Ich würde die gleiche Server-Seite tun, indem Sie auf das Symbol holen, wenn ein Benutzer den Artikel einreicht und zwischenzuspeichern (und zugleich Sie die Gelegenheit nutzen, kann die Verbindung gültig ist, extrahieren Sie eine Zusammenfassung, etc. zu überprüfen).

Es gibt immer einige Risiko einschließlich Inhalt, über die Sie keine Kontrolle haben.

Zum Beispiel, wenn das Bild Renderer in Browser x wurde von einem Pufferüberlauf leiden, dann dem Eigentümer der Website, die das Quellbild Gastgeber konnte das ursprüngliche Symbol für einen böswilligen ein Swap. Ihre Nutzer könnten dann von Ihrer Website infiziert werden, ohne dass Sie wissen.

Als addittion zu den anderen Antworten, sollten Sie wissen, dass viele (die meisten?) Websites in diesen Tagen nicht über eine Datei favicon.ico in ihrer Web-Wurzel, sondern ein Tag wie folgt im HTML head: 

<link rel="shortcut icon" href="http://www.example.com/images/icon.png">

Wenn das Symbol in anderen Formaten als .ico sein kann.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top