È pericoloso consentire ai clienti di fare riferimento a fonts.googleapis.com nei loro script?

0

Ospitiamo script creati dai clienti (xlst). Mi chiedo se ciò possa influire sulla sicurezza della nostra applicazione se consentiamo ai clienti di fare riferimento a font ospitati ad es. %codice%? Dal momento che saranno referenziati da un tag fonts.googleapis.com , non dovrebbe mai essere in grado di eseguire alcun contenuto JavaScript?

Normalmente quei caratteri esterni sarebbero consentiti, ma dal momento che sto sviluppando un'applicazione per un settore industriale che è molto sensibile, devo fare molta più attenzione.

    
posta Kr15 14.02.2017 - 15:10
fonte

2 risposte

3

In teoria, stai caricando fogli di stile e tipi di carattere da terze parti - come dici tu, sono inclusi nei tag link, che non dovrebbero consentire l'esecuzione di script. Ci sono alcune cose che potrebbero causare perdite di informazioni, e il potenziale per un attacco mirato con conseguente visualizzazione dei dati da modificare.

In termini di perdita di informazioni, i browser per impostazione predefinita inviano un'intestazione di riferimento quando caricano una risorsa. Questo verrà inviato al provider di font e, se i tuoi collegamenti sono strutturati in modo da utilizzare la lunghezza o i valori sconosciuti nell'URL come metodo di protezione, il provider di caratteri potrebbe ignorarlo. Se si stanno eseguendo i controlli di sessione, tuttavia, poiché la maggior parte dei siti Web con sezioni autenticate, non dovrebbe ottenere i token di autenticazione (di solito i cookie). Dato che lavori in un settore sensibile, mi auguro che non sia così.

In termini di dati che sembrano cambiare, un fornitore di caratteri maligni potrebbe fornire font che sono mappati in modo errato. Immagina di aver fornito le icone in un font e di utilizzare un segno di spunta o una croce per indicare, ad esempio, se è stato rilevato che un campione di sangue ha una malattia specifica. Mappando il simbolo "tick" al valore "cross" e viceversa, un utente finale potrebbe pensare di avere una malattia dovuta a vedere questo nell'output. Questo sarebbe un attacco molto mirato, quindi probabilmente si applicherebbe solo in casi molto specifici. È improbabile che ciò accada con Google Fonts, ma potrebbe essere applicato se consentisti il collegamento a caratteri Web arbitrari.

Si noti che per qualsiasi foglio di stile sarebbe possibile eseguire attacchi simili: per i dati sensibili, vale la pena tenere tutto ciò che può modificare il comportamento o l'aspetto dell'applicazione ospitata localmente, a meno che non si abbiano requisiti specifici che lo rendano impossibile.

Per i dati sensibili, consiglierei di ospitare i font (e qualsiasi altro foglio di stile e script) autonomamente, se possibile, solo per la tranquillità.

    
risposta data 14.02.2017 - 15:25
fonte
1

I file di font non possono contenere script sul lato client.

Dovresti comunque consentire le posizioni all'interno di qualsiasi politica di sicurezza dei contenuti che utilizzerai ( font-src direttiva), quindi questo sarà tecnicamente più debole, ma non sfruttabile.

E ovviamente dovresti validamente convalidare che non possono eludere nessuna restrizione sull'inserimento dell'elemento link per inserire JavaScript (ad esempio chiudendo <link/> e iniziando un <script> in qualche modo. la tua applicazione, quindi non posso commentare qui in una risposta generale.

TLDR: questo dovrebbe essere sicuro finché si prendono le misure di base della sicurezza a bordo all'interno dell'implementazione.

    
risposta data 14.02.2017 - 15:24
fonte

Leggi altre domande sui tag