Potrebbe una domanda SE che esegue un SVG da un sito Web privato potenzialmente pericoloso?

2

Questa domanda SE (ora eliminata, quindi non facilmente visualizzata) contiene un SVG animato che viene caricato da un privato sito web invece delle solite GIF ospitate da imgur. La linea è:

![https://www.moonwards.com/img/animations/transfer_time.svg][1]

  [1]: https://www.moonwards.com/img/animations/transfer_time.svg

Il sito web può iniziare a raccogliere gli indirizzi IP degli utenti e degli utenti di SE in questo modo? Ci sono altri potenziali problemi?

Ho esaminato le risposte a Ho ricevuto un file SVG sospetto tramite messaggio Facebook. Che cosa fa? ma non sono sicuro di come si applica qui.

    
posta uhoh 05.09.2017 - 22:34
fonte

1 risposta

5

Can the website start collecting SE users' and viewers' IP addresses this way?

Sì. Hotlinking immagini incorporate è una funzionalità di SE che è stata criticato dagli utenti in passato . Nel tuo esempio, anche ogni visitatore della pagina delle domande invia involontariamente una richiesta all'immagine SVG remota in background. In questo modo, chiunque abbia visualizzato la domanda rivela il proprio indirizzo IP, la stringa dell'agente utente, il referrer e altri dettagli del browser per l'host di terze parti potenzialmente non sicuro.

Are there other potential problems?

  • Solitamente , i documenti SVG sono in grado di fornire contenuti di script attivi. Pertanto, consentendo agli utenti del tuo sito web il caricamento illimitato di immagini SVG creerebbe potenzialmente una minaccia XSS persistente. Tuttavia, quando un file SVG è incorporato come <img src=...> , come fatto su SE, il browser lo blocca dall'esecuzione di qualsiasi codice lato client. Pertanto, gli SVG in effetti non rappresentano una minaccia più grande qui rispetto all'hotlinking di immagini GIF o JPEG.

  • Un altro effetto negativo dell'hotlinking è che l'host di terze parti potrebbe decidere di sostituire in modo silenzioso l'immagine con pubblicità o altri contenuti inappropriati in qualsiasi momento. (Puoi trovare alcuni esempi di vita reale qui .)

  • I file SVG appositamente predisposti possono essere utilizzati per esaurire la memoria. Questo è noto come attacco da miliardi di risate . Come un attacco DoS mite, è più un fastidio che una seria minaccia, però.

  • In alcuni browser è ancora possibile condurre attacchi di phishing avanzati di presentazione di una finestra di dialogo HTTP Basic Auth per immagini hotlinked

Sono strongmente a favore di SE che impone che tutte le immagini incorporate siano ospitate su un CDN affidabile e affidabile (ad esempio Imgur, come già fatto con i caricamenti diretti). La comunità richiede giustamente che vengano citate le fonti di testo nel caso in cui un collegamento diventi non disponibile. Quindi sarebbe logico conservare anche le immagini nel caso in cui l'host di immagini fosse offline. (Tuttavia, potrebbero esserci implicazioni legali nel ricaricare automaticamente le immagini protette da copyright in un CDN.)

    
risposta data 05.09.2017 - 22:49
fonte

Leggi altre domande sui tag