Являются ли междоменные значки угрозой безопасности?

Question

У меня есть сайт новостных статей, представленных пользователями, и у меня была идея добавить фавикон на целевой сайт для отображения вместе со ссылкой.

Методика получения значка favicon заключается в проверке файла favicon.ico на целевом сервере. Будет ли отображение этого значка в виде изображения открыть любую дыру? Может ли быть какой-то злой фавикон? Будет ли преобразование изображения на стороне сервера в другой формат файла минимизировать риск?

Answer 1

Несколько лет назад в анализаторе JPEG Window была уязвимость. Вполне возможно, что в будущем уязвимости могут быть обнаружены в других форматах, но я думаю, что вы вполне безопасно отображать их как есть и быть бдительными в применении исправлений, если угроза опубликована.

Однако, чтобы защитить конфиденциальность ваших пользователей, вы должны кэшировать значок сайта на вашем сервере и позволить браузерам пользователей получать его оттуда. С другой стороны, некоторые сайты могут чувствовать, что вы нарушили их интеллектуальную собственность, отображая их favicon на вашем сайте. Опять же, я бы, наверное, не слишком волновался об этом, пока они не попросят вас остановиться.

Answer 2

Конфиденциальность была бы моей главной заботой на самом деле, так как иконки иногда используются для отслеживания того, кто делает закладки на странице. По крайней мере, это могло бы испортить их данные, так как они думают, что их ставят в закладки больше людей, чем на самом деле.

Когда браузеры используют их, рекомендуемое поведение, которое, по моему мнению, сейчас используется большинством, заключается в том, чтобы загружать значок только при посещении сайта, а затем кэшировать его в браузере. Я бы сделал то же самое на стороне сервера, выбрав значок, когда пользователь отправляет статью и кэширует ее (и в то же время вы можете воспользоваться возможностью, чтобы убедиться, что ссылка действительна, извлечь резюме и т. Д.).

Answer 3

Как дополнение к другим ответам, вы должны знать, что многие (большинство?) Сайтов в наши дни не имеют файла favicon.ico в своем веб-корне, но имеют такой тег в HTML head:

<link rel="shortcut icon" href="http://www.example.com/images/icon.png">

Где значок может быть в других форматах, кроме .ico.

Answer 4

Всегда существует некоторый риск, включая контент, который вы не можете контролировать.

Например, если средство визуализации изображений в браузере x должно было страдать от уязвимости переполнения буфера, то владелец сайта, на котором размещено исходное изображение, может заменить исходный значок на вредоносный. Ваши пользователи могут быть заражены с вашего сайта без вашего ведома.