Che cosa è dannoso per i collegamenti ai file?

3

Perché Chrome e Firefox non hanno disabilitato file:/// link? Posso immaginare un iframe che apre una risorsa locale, ma quale risorsa è quella spaventosa? Potrebbero avere appena disabilitato gli iframe in file:/// ? Le richieste Ajax non funzionano a causa del problema dell'origine, il che ha senso. I collegamenti locali erano uno strumento molto utile per intranet con mapping di unità condivise.

C'era un exploit conosciuto o è solo una misura protettiva da una minaccia teorica, non ancora esistente?

    
posta ubershmekel 30.10.2013 - 18:53
fonte

1 risposta

4

L'accesso ai file remoto e locale non si confonde. I siti remoti dovrebbero conoscere assolutamente niente di ciò che è presente sul tuo disco rigido, ad eccezione di ciò che è esposto con cura in modi controllati, come la memorizzazione e i cookie locali di HTML5.

Tutto ciò che viene caricato nel DOM può essere esaminato tramite script, il che significa che consentire l'inclusione di file:/// consentirebbe a qualsiasi sito remoto di accedere in lettura a tutti i file sul tuo computer. I siti dannosi potrebbero quindi levarare questo buco per carpire segreti segreti da te, che potrebbero quindi portare a ulteriori sfruttamenti.

    
risposta data 30.10.2013 - 18:56
fonte

Leggi altre domande sui tag