¿Cómo crees que podríamos asegurar los hipervínculos pegados por los usuarios en los foros, comentarios, blogs de sitios web contra enlaces maliciosos que llevan a malware, etc.?
Pensé en la navegación segura de google, projecthoneypot.
¿Ha abordado este problema y si puede evitar el problema de los enlaces defectuosos?
En general, no hay forma de revisar los enlaces a menos que tenga recursos significativos. Incluso si visita el sitio, el dominio puede caducar y ser adquirido por un distribuidor de malware que desea beneficiarse de la reputación del propietario anterior.
Necesitas los protocolos de lista blanca, por ejemplo, solo se permiten http , https y mailto . No se puede confiar en los enlaces javascript: .
Además, puedes confiar en la mayoría de los navegadores modernos para incluir algún tipo de comprobación de malware, y posiblemente no publicar enlaces a navegadores más antiguos.
De cualquier forma, debes usar nofollow para asegurarte de que los rastreadores de malware no concluyan que estos enlaces son más confiable porque su sitio está vinculado a ellos o que su sitio es menos confiable porque está vinculado a ellos.
son una excelente manera de aprovechar una vulnerabilidad XSS o CSRF porque oculta la solicitud del usuario. McAfee proporciona un servicio de cortocircuito de url seguro .
Es trivial ver si un enlace se está redireccionando, con un encabezado HTTP. CURL puede seguir automáticamente las redirecciones del encabezado HTTP, sin embargo, la redirección de meta y la redirección de JavaScript es más difícil.
Hay dos cosas que puedes verificar. Puede verificar que la URL no se encuentra en la lista negra de Google Safe Browning utilizando la API de Google . También puedes verificar que no tiene JavaScript. Esta parte es un poco más difícil debido a la codificación, pero aún así es bastante simple de implementar.
Si la pregunta es qué puede hacer un proveedor de servicios (es decir, webhost) para reducir la probabilidad de que se publique un enlace malicioso en su sitio, hay algunos métodos disponibles. Recuerdo que Websense ofrece un servicio, Threatseeker cloud, un servicio web donde los proveedores de servicios pueden usar para verificar si un enlace (acortado o no) pertenece a cualquier número de categorías predefinidas (es decir, para adultos, maliciosos, etc.). Supongo que hay otros proveedores y empresas destinadas a proporcionar este tipo de servicio a los proveedores de servicios.
Además de revisar cada enlace publicado antes de su publicación, siempre puede consultar otros controles técnicos mencionados en las otras respuestas o quizás un simple control administrativo / social para asegurarse de que solo los usuarios registrados puedan publicar. Puede agregar el requisito de moderación por parte de un moderador o agregar el componente social para requerir que la publicación de enlaces solo esté disponible para usuarios registrados después de cierta medida (es decir, votos positivos, reputación, etc.).
Por último, siempre puede enmascarar los enlaces para que el usuario tenga que copiarlos y pegarlos en su navegador. Pero este enfoque mueve la carga de nuevo en el usuario.
Lea otras preguntas en las etiquetas url-redirection defense antimalware