Sono favicon tra domini un rischio per la sicurezza?

StackOverflow https://stackoverflow.com/questions/1831123

  •  11-09-2019
  •  | 
  •  

Domanda

Ho un sito di articoli di notizie inviati dagli utenti, e un'idea che ho avuto per una funzione è stato quello di afferrare la favicon sul sito di destinazione per visualizzare insieme al link.

La metodologia per afferrare la favicon sarebbe il check per il file favicon.ico sul server di destinazione. Sarebbe la visualizzazione di tale icona come un'immagine aprire qualsiasi buco? Ci potrebbe essere una sorta di favicon dannoso? Sarebbe la conversione del lato server immagine in un diverso formato di file rischio negate?

È stato utile?

Soluzione

C'era una vulnerabilità nel parser JPEG Finestra qualche anno fa. E 'possibile che le vulnerabilità possono essere scoperti in altri formati in futuro, ma penso che tu sia abbastanza sicuro per visualizzarlo così com'è, e di essere vigili nel applicare le patch, se una minaccia è pubblicizzato.

Tuttavia, per proteggere la privacy degli utenti, è necessario memorizzare nella cache la favicon al vostro server, e lasciare che i browser degli utenti prenderlo da lì. D'altra parte, alcuni siti potrebbero sentirsi hai violato la loro proprietà intellettuale mediante la visualizzazione di loro favicon su tuo sito. Anche in questo caso, probabilmente non mi preoccuperei troppo fino a quando ti chiedono di fermare.

Altri suggerimenti

Privacy sarebbe la mia preoccupazione principale davvero come favicon sono a volte utilizzati per il monitoraggio che segnalibri una pagina. Per lo meno sarebbe vite i loro dati come avrebbero pensato più persone sono bookmarking loro che sono davvero.

Quando i browser li usano il comportamento raccomandato che credo sia adottato dalla maggior parte ora, è quello di prendere solo la favicon quando si visita il sito e quindi la cache nel browser. Vorrei fare lo stesso lato server per il recupero icona quando un utente invia l'articolo e memorizzare nella cache (e allo stesso tempo si può cogliere l'occasione per verificare il collegamento è valido, estrarre una sintesi, ecc).

C'è sempre alcuni rischio inclusi i contenuti su cui non hanno alcun controllo.

Per esempio, se il renderer immagine browser x è stato quello di soffrire di una vulnerabilità di buffer overflow, poi il proprietario del sito che ospita l'immagine di origine potrebbe scambiare l'icona originale per uno dannoso. Gli utenti possono essere infettati dal tuo sito senza che tu lo sappia.

Come addittion alle altre risposte, si deve sapere che molti (la maggior parte?) Siti in questi giorni non hanno un file favicon.ico nella loro radice web, ma un tag come questo nel head HTML: 

<link rel="shortcut icon" href="http://www.example.com/images/icon.png">

Se l'icona può essere in altri formati rispetto .ico.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top