Come pensi che potremmo proteggere i collegamenti ipertestuali incollati dagli utenti sui forum del sito web, i commenti, i blog contro i link errati / che portano al malware ecc.?
Ho pensato a google safe browsing, projecthoneypot.
Hai risolto questo problema e se puoi evitare il problema dei link errati?
In generale, non c'è modo di controllare i collegamenti se non si hanno risorse significative. Anche se visiti il sito, il dominio potrebbe scadere e essere acquisito da un distributore di malware che desidera trarre vantaggio dalla reputazione del vecchio proprietario.
Hai bisogno di protocolli white-list, ad es. ammetti solo http , https e mailto . Non è possibile fidare di javascript: link.
Oltre a questo, puoi affidarti alla maggior parte dei browser moderni per includere un qualche tipo di controllo del malware e, eventualmente, non fornire link a browser più vecchi.
In ogni caso, dovresti utilizzare nofollow per assicurarti che i tracker malware non concludano che questi link sono più affidabile perché il tuo sito si collega a loro o che il tuo sito è meno affidabile perché si collega a loro.
I servizi di abbreviazione URL sono un ottimo modo per sfruttare una vulnerabilità XSS o CSRF perché oscura la richiesta dall'utente. McAfee fornisce un servizio di short in caso di url sicuro .
È banale vedere se un link sta reindirizzando, con un'intestazione HTTP. CURL può seguire automaticamente i reindirizzamenti dell'header HTTP, tuttavia il reindirizzamento con meta-reindirizzamento e JavaScript è più difficile.
Ci sono due cose che puoi controllare. Puoi verificare che l'URL non si trovi nella blacklist di Google Safe Browning utilizzando API di Google . Puoi anche verificare che non abbia JavaScript in esso. Questa parte è un po 'più difficile a causa della codifica, ma è ancora piuttosto semplice da implementare.
Se la domanda è cosa può fare un fornitore di servizi (ad esempio il webhost) per ridurre la probabilità che un link dannoso sia pubblicato sul tuo sito, ci sono alcuni metodi disponibili. Ricordo che Websense offre un servizio, Threatseeker cloud, un servizio Web in cui i provider di servizi possono utilizzare per verificare se un collegamento (abbreviato o meno) appartiene a un qualsiasi numero di categorie predefinite (ad es. Adulto, malevolo, ecc.). Immagino che ci siano altri venditori e iniziative mirate a fornire questo tipo di servizio ai fornitori di servizi.
Oltre a controllare ogni link pubblicato prima della sua pubblicazione, puoi sempre guardare altri controlli tecnici menzionati nelle altre risposte o forse un semplice controllo amministrativo / sociale per assicurare che solo gli utenti registrati possano postare. È possibile aggiungere il requisito di moderazione da parte di un moderatore o aggiungere la componente sociale per richiedere la pubblicazione di collegamenti disponibili solo agli utenti registrati dopo una certa misura (cioè voti positivi, reputazione, ecc.).
Infine, puoi sempre mascherare i collegamenti in modo che l'utente debba copiarli / incollarli nel loro browser. Ma questo approccio sposta l'onere sull'utente.
Leggi altre domande sui tag url-redirection defense antimalware