크로스 도메인 파비콘은 보안 위험입니까?

Question

사용자 제출 뉴스 기사 사이트가 있으며, 기능에 대한 아이디어는 대상 사이트에서 Favicon을 링크와 함께 표시하는 것이 었습니다.

Favicon을 잡는 방법론은 대상 서버에서 favicon.ico 파일을 확인하는 것입니다. 해당 아이콘이 이미지로 표시되어 구멍이 열릴까요? 악의적 인 favicon이있을 수 있습니까? 이미지 서버 측을 다른 파일 형식으로 변환하면 위험을 부정할까요?

Answer 1

몇 년 전 Window의 JPEG 파서에는 취약점이있었습니다. 미래의 다른 형식으로 취약점을 발견 할 수는 있지만, 위협이 공개되면 패치를 적용하는 데주의를 기울이는 것이 안전하다고 생각합니다.

그러나 사용자의 개인 정보를 보호하려면 서버에서 Favicon을 캐시하고 사용자의 브라우저가 여기에서 가져 오도록해야합니다. 반면에 일부 사이트는 표시하여 지적 재산을 위반했다고 생각할 수 있습니다. 그들의 favicon on 당신의 대지. 다시 말하지만, 나는 그들이 당신에게 멈출 것을 요청할 때까지 너무 걱정하지 않을 것입니다.

Answer 2

Favicons가 때때로 페이지를 북마크하는 사람을 추적하는 데 사용되기 때문에 개인 정보 보호가 저의 주요 관심사입니다. 최소한 그것은 더 많은 사람들이 실제로보다 더 많은 사람들이 책갈피를 추가한다고 생각할 때 그들의 데이터를 망칠 것입니다.

브라우저를 사용하면 현재 대부분의 채택 된 권장 동작은 사이트를 방문한 다음 브라우저에서 캐시 할 때만 Favicon 만 가져 오는 것입니다. 사용자가 기사를 제출하고 캐시 할 때 아이콘을 가져 와서 동일한 서버 측면을 수행합니다 (동시에 링크가 유효한지 확인하고 요약을 추출하는 등).

Answer 3

항상 있습니다 약간 통제 할 수없는 콘텐츠를 포함하는 위험.

예를 들어, 브라우저 X의 이미지 렌더러가 버퍼 오버 플로우 취약성으로 어려움을 겪고 있다면 소스 이미지를 호스팅하는 사이트의 소유자가 원래 아이콘을 악성 아이콘으로 바꿀 수 있습니다. 그런 다음 사용자는 모르는 상태에서 사이트에서 감염 될 수 있습니다.

Answer 4

다른 답변에 대한 추가 사항으로, 요즘 대부분의 사이트에 파일이 없다는 것을 알아야합니다. favicon.ico 그들의 웹 루트에서, 그러나 HTML에서 이와 같은 태그 head:

<link rel="shortcut icon" href="http://www.example.com/images/icon.png">

아이콘이 다른 형식으로 될 수있는 곳 .ico.