クロスドメインファビコンは、セキュリティ上のリスクはありますか?
-
11-09-2019 - |
質問
私は、ユーザーが送信したニュース記事のサイトを持っている、と私は機能のために持っていたアイデアは、リンクとともに表示するには、ターゲットサイトでファビコンをつかむことだった。
ファビコンをつかむための方法論は、ターゲット・サーバー上のfavicon.icoファイルをチェックすることになります。任意の穴を開けた画像とそのアイコンを表示しますか?悪質なファビコンのいくつかの並べ替えがあるだろうか?異なるファイル形式のネゲートリスクに画像をサーバー側に変換しませんか?
解決
数年前にWindowsのJPEGパーサに脆弱性がありました。これは、脆弱性が将来的に他のフォーマットで発見される可能性ですが、私はあなたが、あるとして、それを表示し、脅威が公表された場合にパッチを適用することに警戒するかなり安全だと思います。
ただし、ユーザーのプライバシーを保護するために、あなたはあなたのサーバーでファビコンをキャッシュし、ユーザーのブラウザがそこからフェッチさせてください。一方、いくつかのサイトでは、の自分ののサイトでの自分ののファビコンを表示することによって、彼らの知的財産を侵害してきた感じがあります。彼らは停止をお願いするまで繰り返しますが、私はおそらくあまり心配ないでしょう。
他のヒント
プライバシーファビコンが時々ページをブックマーク追跡するために使用されている本当にとしての私の主な関心事でしょう。非常に少なくとも、それは彼らがより多くの人々が実際よりもそれらをブックマークするいると思うだろうとして、自分のデータをネジなります。
ブラウザがそれらを使用すると、私は考える推奨行動は今ではほとんどで採用されている、あなたがサイトと、ブラウザでキャッシュを訪問したときにのみ、ファビコンを取得することです。私は、ユーザーが記事を送信したときにアイコンをフェッチすることで、同じサーバー側を行うと、それをキャッシュ(と同時にあなたは、などを、リンクが有効であることを確認要約を抽出するために機会を取ることができます)です。
は常にあります。のあなたが制御することはできませんその上、コンテンツを含むでいくつかのの危険ます。
ブラウザxにおける画像レンダラは、バッファオーバーフローの脆弱性に苦しむことであった場合、たとえば、ソース・イメージをホストするサイトの所有者は、悪質ないずれかの元のアイコンをスワップアウト可能性があります。ユーザーは、あなたが知らなくても、あなたのサイトから感染することができます。
他の回答にaddittionとして、あなたは多くの(?ほとんど)のサイトは、これらの日が自分のWebルートにファイルfavicon.ico
を持っていますが、HTMLのhead
で、このようなタグはありませんことを知っている必要があり
<link rel="shortcut icon" href="http://www.example.com/images/icon.png">
アイコンが.ico
以外の形式であってもよい場合。