Perché il nostro team di Web Security blocca i caratteri web?

2

La società per cui lavoro ha iniziato a bloccare i caratteri Web su domini esterni.

Questo crea un UX scadente nella maggior parte dei siti, dato che un numero elevato di risorse viene generato tramite FontAwesome (oltre a dover visualizzare il 90% dei siti Web in sans-serif).

Qual è il rischio di consentire il download e il rendering dei caratteri Web da un browser Web? È la prima volta che conosco un team di sicurezza per prendere questa misura.

    
posta Matt 10.02.2017 - 11:54
fonte

3 risposte

3

Proprio come con qualsiasi risorsa esterna, stai perdendo una notevole quantità di informazioni su un sito di terze parti se stai caricando il font esterno in background. Queste preoccupazioni sulla privacy potrebbero essere il motivo principale per cui stanno autorizzando alcuni siti attendibili.

In particolare, stai perdendo l'URL del sito corrente tramite l'intestazione Referer . Immagina una pagina di reimpostazione della password con un token di ripristino segreto nell'URL che carica un font esterno: il token verrebbe immediatamente divulgato a quel servizio di terze parti. Ad esempio, questo bug report fa riferimento a questo esatto problema.) Anche con contenuti non segreti nell'URL che sarebbero in grado di raccogliere statistiche di utilizzo del tuo sito registrando le visite alle pagine, le stringhe degli user-agent, ecc.

Un'altra minaccia di font di terze parti potrebbe essere il defacement (anche se non rischi l'inserimento di script che faresti con JS esterno). Se il sito di terze parti è stato compromesso, un utente malintenzionato potrebbe modificare il carattere in modo da distruggere il sito Web cambiando il modo in cui vengono visualizzati i caratteri di tale carattere. Ma anche se non ti aspetti che il sito sia compromesso, devi fare affidamento sulla loro disponibilità generale. Quindi, se quel sito non è un CDN affidabile, prenderei in considerazione l'idea di ospitare il font personalmente.

    
risposta data 10.02.2017 - 12:27
fonte
3

Ci sono una serie di problemi di privacy per quanto riguarda i caratteri web. Quando metti un link a un font nella tua pagina, esponi un bel po 'di informazioni al sito che ospita il font e questo potrebbe essere particolarmente problematico per i siti privati.

La buona notizia è che in genere è possibile scaricare il file del carattere e servirlo localmente, il che salverà anche una ricerca DNS sulla tua pagina, rendendo probabilmente le cose un po 'più veloci. Anche se verifica i termini della licenza, dovresti farlo comunque, poiché non tutti i font "liberi" sono gratuiti per uso commerciale o possono essere scaricati sui tuoi server.

In passato ci sono stati anche problemi di sicurezza relativi ai font con i motori di rendering suscettibili a vari tipi di hack.

Ecco un riferimento da un altro sito SO: link

    
risposta data 10.02.2017 - 12:25
fonte
1

I caratteri Web possono essere bloccati per sicurezza e privacy. Una delle estensioni sul mio Chrome ha in realtà un'impostazione per bloccare i webfonts per la protezione delle impronte digitali.

Se sai che un dominio è autorizzato nella whitelist (ovvero i caratteri web host di Google Fonts), allora è considerato sicuro e molto probabilmente è già inserito nella cache del sistema client per velocizzare le velocità di download. Sono stati registrati alcuni attacchi nel passato (esecuzione di codice in modalità remota) utilizzando i caratteri Web come vettore di attacco. Tuttavia, la frequenza di tale attacco è piccola e, come detto, ci sono probabilmente altri modi per impronte digitali oltre ai caratteri web.

Idealmente, dal punto di vista dell'esperienza utente, lo sviluppatore / designer web dovrebbe utilizzare font web da fonti attendibili comunque come Google Fonts. Non solo accelererebbe la navigazione della pagina web (se già memorizzata nella cache) ma è anche utile per coloro (politiche aziendali e privati) che sono attenti alla privacy e alla sicurezza.

    
risposta data 10.02.2017 - 12:36
fonte

Leggi altre domande sui tag