I componenti HTML (HTC) presentano un potenziale vettore di attacco?

Naviga le tue risposte
7

Sto lavorando su un sito che ha una preoccupazione più alta del normale per la sicurezza degli utenti. Recentemente ho lavorato su alcuni problemi CSS con versioni precedenti di IE (supportiamo 7 e versioni successive) e ho scoperto che una soluzione semplice per alcuni di loro sarebbe l'uso di file HTML Component (.htc) per aggiungere determinati comportamenti CSS3. link

Mi è stato dato un suggerimento incerto da parte di qualcuno sul fatto che questi metodi potrebbero portare a un problema di sicurezza, sia a causa della compromissione del browser client, sia del server (quest'ultimo mi sorprenderebbe). Ho provato a fare un po 'di ricerche su Google ma non ho potuto trovare facilmente menzioni di tali problemi. Qualcuno potrebbe avere ulteriori informazioni su questo problema?

    
posta Katana314 02.01.2014 - 18:41
fonte

1 risposta

1

Non ho molta familiarità con loro, ma non riesco a vedere nulla di pericoloso su di loro in modo globale, posso immaginare che i rischi derivanti dal loro utilizzo in un modo pericoloso, tuttavia, sono tipici dei primi dieci tipi di rischio da fidarsi anche degli input dell'utente tanto.

Stai permettendo a questi file / altri contenuti CSS / html di essere caricati o modificati da input non fidati? Gli utenti non fidati possono modificare i file sul server? Se la macchina client è compromessa (malware, ecc.), Possono senza dubbio modificarla, ma è comunque un punto critico.

Anche qui c'è menzione di htc, ma sembra rientrare nei rischi sopra riportati: attacchi basati su CSS

    
risposta data 03.01.2014 - 00:54
fonte

Leggi altre domande sui tag

Quali sono le implicazioni sulla sicurezza del collegamento di un account di dominio con un account personale Microsoft in Windows 8? Appunti condivisi su Linux senza keylogging, vulnerabilità ecc.?