Son faviconos entre dominios un riesgo de seguridad?

StackOverflow https://stackoverflow.com/questions/1831123

  •  11-09-2019
  •  | 
  •  

Pregunta

Tengo un sitio de noticias enviados por el usuario, y una idea que tuve para una característica era para agarrar el favicon en el sitio de destino para mostrar junto con el enlace.

La metodología para agarrar el favicon sería el registro para el archivo favicon.ico en el servidor de destino. Sería mostrar ese icono como imagen abrir cualquier agujero? Podría haber algún tipo de favicon malicioso? Sería convertir el servidor-lado de la imagen a un formato de archivo de riesgo negate diferente?

¿Fue útil?

Solución

Hubo una vulnerabilidad en JPEG analizador de ventana hace unos años. Es posible que las vulnerabilidades podrían ser descubiertos en otros formatos en el futuro, pero creo que son bastante seguro para mostrarla tal cual, y ser vigilantes en la aplicación de parches si se publicita una amenaza.

Sin embargo, para proteger la privacidad de sus usuarios, se debe almacenar en caché el favicon en su servidor, y dejar que el navegador del usuario traen desde allí. Por otro lado, algunos sitios podrían sentir que ha violado su propiedad intelectual mediante la visualización de su favicon en su sitio. Una vez más, probablemente no me preocupe demasiado hasta que te piden que parar.

Otros consejos

Privacidad sería mi principal preocupación realmente tan faviconos se utilizan a veces para rastrear quién marcador una página. Por lo menos sería atornillar sus datos a medida que pensarían que más personas son pega ellos que realmente son.

Cuando los navegadores que utilizan el comportamiento recomendado que creo que es adoptada por la mayoría ahora, es sólo para buscar el favicon cuando visita el sitio y luego caché en el navegador. Yo haría lo mismo lado del servidor por ir a buscar el icono cuando un usuario envía el artículo y almacenar en caché (y al mismo tiempo se puede tomar la oportunidad de verificar el enlace es válido, extraer un resumen, etc.).

No siempre es cierto riesgo en la inclusión de contenidos sobre los cuales no tiene ningún control.

Por ejemplo, si el generador de imágenes en el navegador X fue a sufrir de una vulnerabilidad de desbordamiento de búfer, entonces el dueño del sitio que aloja la imagen de origen podría intercambiar el icono original para uno malintencionado. Sus usuarios podrían entonces ser infectados de su sitio sin conocimiento del usuario.

Como Además de todas las otras respuestas, usted debe saber que muchos (la mayoría?) Sitios en estos días no tienen un favicon.ico archivo en su raíz web, pero una etiqueta como esta en la head HTML: 

<link rel="shortcut icon" href="http://www.example.com/images/icon.png">

Cuando el icono puede estar en otros formatos que .ico.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top