São favicons de domínio cruzado um risco de segurança?

StackOverflow https://stackoverflow.com/questions/1831123

  •  11-09-2019
  •  | 
  •  

Pergunta

Eu tenho um site de artigos de notícias enviados por usuários, e uma idéia que tive para um recurso era para pegar o favicon no site de destino para exibir juntamente com o link.

A metodologia para pegar o favicon seria verificar para o arquivo favicon.ico no servidor de destino. Iria apresentar esse ícone como uma imagem abrir qualquer buraco? Poderia haver algum tipo de favicon mal-intencionados? Será que a conversão do lado do servidor a imagem para um formato de arquivo de risco negate diferente?

Foi útil?

Solução

Houve uma vulnerabilidade no analisador JPEG da Janela de alguns anos atrás. É possível que vulnerabilidades podem ser descobertos em outros formatos no futuro, mas eu acho que você é bastante seguro para exibi-la como está, e estar vigilante na aplicação de patches, se uma ameaça é divulgado.

No entanto, para proteger a privacidade de seus usuários, você deve armazenar em cache o favicon no seu servidor, e deixar os navegadores dos usuários buscá-lo de lá. Por outro lado, alguns sites podem sentir que violou sua propriedade intelectual por meio da exibição sua favicon em o site. Mais uma vez, eu provavelmente não iria se preocupar muito sobre isso até que pedir-lhe para parar.

Outras dicas

Privacidade seria a minha principal preocupação realmente como favicons são por vezes usados ??para rastrear quem bookmarks uma página. Pelo menos ele iria estragar seus dados como eles pensariam que mais pessoas estão bookmarking-los do que realmente são.

Quando os navegadores usam o comportamento recomendado que eu acho que é adotado pela maioria agora, é buscar apenas o favicon quando você visitar o site e, em seguida, o cache do navegador. Eu faria o mesmo lado do servidor por buscar o ícone quando um usuário envia o artigo e cache-lo (e, ao mesmo tempo, você pode aproveitar a oportunidade para verificar o link é válido, extrair um resumo, etc).

Há sempre alguns de risco em incluindo conteúdo sobre o qual você não tem controle.

Por exemplo, se o processador de imagem em x navegador estava a sofrer de uma vulnerabilidade de buffer overflow, então o dono do site que hospeda a imagem de origem poderia trocar o ícone original para um malicioso. Os usuários podem então ser infectado de seu local sem você saber.

Como um addittion para as outras respostas, você deve saber que muitos (a maioria?) Locais estes dias não têm um favicon.ico arquivo em sua raiz web, mas uma tag como esta no head HTML: 

<link rel="shortcut icon" href="http://www.example.com/images/icon.png">

Quando o ícone pode estar em outros formatos que .ico.

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top