C'è qualche pericolo nel pulsante di anteprima nei blog?

Naviga le tue risposte
6

Nel mio blog Wordpress (anche se questo potrebbe essere vero anche per altri blog), esiste una funzionalità di anteprima della pagina Web.

Quindi quando ottengo un commento con un link, posso passare il mouse sopra il link e mi mostra un'anteprima della pagina. A volte lo uso per controllare possibili messaggi di spam.

Ma c'è qualche rischio in questo? Ad esempio, se la pagina web ha uno script o un attacco basato su XSS, il mio blog può essere compromesso?

Per essere chiari, non sto parlando di alcun plugin. Nella sezione commenti di Wordpress, le persone possono facoltativamente pubblicare un link al loro sito web. Se si passa il mouse sopra il collegamento, si genera un'anteprima del sito Web. Questo è quello di cui stavo parlando. Questa sembra essere una funzionalità integrata di Wordpress.

    
posta Shantnu 09.08.2013 - 12:00
fonte

1 risposta

3

Nel seguito, suppongo che tu stia parlando del ShrinkTheWeb plugin per Wordpress. Questo plugin funziona con il server gestito dagli utenti di ShrinkTheWeb: quando si esegue un "passaggio del mouse" sul collegamento, viene inviata una richiesta al server, che inoltrerà la richiesta al server ShrinkTheWeb; quest'ultimo tenterà effettivamente di accedere al sito Web di destinazione, calcolerà una miniatura e la invierà al server come immagine . Per il tuo server, c'è solo un'immagine, e questo è ciò che viene inviato al browser dell'utente.

Ogni plugin può avere i suoi problemi di sicurezza, ma direi che in questo caso i rischi sono sul lato del server ShrinkTheWeb, perché è quel server che farà l'effettivo accesso al sito Web possibilmente brutto alla fine del link fornito dall'utente. I tuoi rischi sono più lungo le seguenti linee:

  • Se il server ShrinkTheWeb viene dirottato, potrebbe essere possibile che inizi a restituire dati dannosi anziché miniature dei siti Web come immagini innocue; a seconda di quanto sia stato scritto male il plug-in di WordPress (non ho controllato), questo potrebbe o meno essere pericoloso per il tuo server o anche per il browser dell'utente. Tuttavia, finché il server ShrinkTheWeb mantiene la linea, restituirà solo immagini ben formate, che saranno innocue per il tuo server e il browser dell'utente.

  • Gli screenshot appariranno in qualche modo "nel tuo blog", quindi potresti avere problemi di pubbliche relazioni se le immagini "indesiderate" appaiono in questo modo. Ma si tratta di rintracciare e cancellare spam e troll; niente di veramente nuovo qui.

risposta data 09.08.2013 - 15:26
fonte

Leggi altre domande sui tag

Quali sono i problemi con l'archiviazione delle password in una cartella pubblica riservata in cambio? In che modo le informazioni sensibili perdono assistenza nello sviluppo degli exploit?