Sont favicons interdomaines un risque de sécurité?

StackOverflow https://stackoverflow.com/questions/1831123

  •  11-09-2019
  •  | 
  •  

Question

J'ai un site d'articles de presse soumis par l'utilisateur, et une idée que j'avais pour une caractéristique était de saisir le favicon sur le site cible à afficher avec le lien.

La méthode pour saisir le favicon serait vérifier le fichier favicon.ico sur le serveur cible. Serait afficher cette icône comme une image ouvrir un trou? Pourrait-il y avoir une sorte de favicon malveillants? Serait la conversion du côté serveur image à un autre risque de Négation du format de fichier?

Était-ce utile?

La solution

Il y avait une vulnérabilité dans l'analyseur JPEG de fenêtre a quelques années. Il est possible que les vulnérabilités pourraient être découverts dans d'autres formats dans l'avenir, mais je pense que vous êtes assez sûr pour l'afficher en l'état, et faire preuve de vigilance dans l'application des correctifs si une menace est rendue publique.

Cependant, pour protéger la confidentialité de vos utilisateurs, vous devez mettre en cache le favicon à votre serveur, et que les navigateurs des utilisateurs vont chercher à partir de là. D'autre part, certains sites pourraient vous sentir avez violé leur propriété intellectuelle en affichant leur favicon sur votre site. Encore une fois, je ne serais probablement pas vous en inquiéter trop jusqu'à ce qu'ils vous demandent d'arrêter.

Autres conseils

Vie privée serait ma principale préoccupation vraiment Favicons sont parfois utilisés pour le suivi qui ajoute une page. À tout le moins, il visserait leurs données comme ils penseraient que plus de gens sont les bookmarking que sont vraiment.

Lorsque les navigateurs les utilisent le comportement recommandé que je pense est adopté par la plupart maintenant, est de chercher seulement le favicon lorsque vous visitez le site, puis cache dans le navigateur. Je ferais le même côté serveur en allant chercher l'icône lorsqu'un utilisateur soumet l'article et le mettre en cache (et en même temps, vous pouvez profiter de l'occasion de vérifier le lien est valide, extraire un résumé, etc.).

Il y a toujours un risque y compris le contenu sur lequel vous avez aucun contrôle.

Par exemple, si le moteur de rendu d'image dans le navigateur x était de souffrir d'une vulnérabilité de dépassement de mémoire tampon, le propriétaire du site qui héberge l'image source pourrait échanger sur l'icône d'origine pour un méchant. Vos utilisateurs pourraient alors être infectés à partir de votre site sans que vous le sachiez.

En tant que addittion aux autres réponses, vous devez savoir que beaucoup (la plupart?) Des sites ces jours-ci ne disposent pas d'un favicon.ico de fichier dans leur racine Web, mais une étiquette comme celui-ci dans le head HTML: 

<link rel="shortcut icon" href="http://www.example.com/images/icon.png">

Si l'icône peut être dans d'autres formats que .ico.

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top