Penso di sapere cosa sta succedendo con te. In realtà, questo è esattamente quello che faccio con l'immagine nella mia sezione "su di me" nei miei profili StackExchange. È un file .php
che cattura alcune informazioni sul visitatore (indirizzo IP, tipo di browser, se il visitatore ha reso felice lo smiley o meno, ecc.). Ho semplicemente riscritto l'URL per mostrare due immagini differenti che sono in effetti lo stesso file .php
.
Se consenti alle persone di utilizzare i file hotlink (in particolare quelli richiesti automaticamente dal browser, come le immagini), non c'è nulla che tu possa fare al riguardo. Il browser dell'utente si collegherà all'altro server (sul quale è ospitata l'immagine) e richiederà l'immagine da lì. Per il browser, il link punta davvero su un'immagine .png
. Non può dire la differenza, né il tuo server / sito.
Questo è un attacco di ingegneria sociale in cui l'attaccante spera che l'utente usi un browser che apre una finestra di dialogo di autenticazione per contenuti misti. Purtroppo, Firefox è uno di quei browser. In molti casi, se all'utente viene presentato un dialogo di accesso sul sito A effettivamente richiesto per il contenuto caricato dal sito B, molto probabilmente l'utente inserirà le credenziali del sito A (il tuo sito) e verrà rubato il suo account.
La soluzione: Dovrai disabilitare i contenuti di hotlink di questo tipo e caricare nuovamente le immagini hotlink sul tuo server e poi servirle sul tuo sito web da lì.
(A febbraio 2016, Firefox è ancora interessato da questo problema tra domini. Chrome mostra solo il popup delle risorse caricate nello stesso dominio)