La compañía para la que trabajo ha comenzado a bloquear las fuentes web en dominios externos.
Esto crea un UX deficiente en la mayoría de los sitios, dado que una gran cantidad de activos se generan a través de fuentes como FontAwesome (además de tener que ver el 90% de los sitios web en sans-serif).
¿Cuál es el riesgo de permitir que las fuentes web sean descargadas y renderizadas por un navegador web? Es la primera vez que conozco a un equipo de seguridad que toma esta medida.
Al igual que con cualquier recurso externo, está filtrando una cantidad considerable de información a un sitio de terceros si está cargando la fuente externa en segundo plano. Estas preocupaciones de privacidad pueden ser la razón principal por la que están en la lista blanca de algunos sitios de confianza.
Más notablemente, está filtrando la URL del sitio actual a través del encabezado Referer . Imagine una página de restablecimiento de contraseña con un token de restablecimiento secreto en la URL que carga una fuente externa: el token se filtrará inmediatamente a ese servicio de terceros. (Por ejemplo, este informe de error se refiere a este problema exacto). Incluso con contenido no secreto en la URL, podrían recopilarse estadísticas de uso de su sitio mediante el registro de visitas a la página, cadenas de usuario-agente, etc.
Otra amenaza de las fuentes de terceros sería la desfiguración (aunque no se arriesga a la inyección de secuencias de comandos como lo haría con JS externo). Si el sitio de terceros se vio comprometido, un atacante podría modificar la fuente de una manera que dañaría su sitio web al cambiar la forma en que se muestran los caracteres de esa fuente. Pero incluso si no espera que el sitio se vea comprometido, tiene que confiar en su disponibilidad general. Entonces, si ese sitio no es un CDN confiable, consideraría alojar la fuente yo mismo.
Hay una serie de problemas de privacidad con respecto a las fuentes web. Cuando coloca un enlace a una fuente en su página, expone una gran cantidad de información al sitio que alberga la fuente y esto puede ser particularmente problemático para los sitios privados.
La buena noticia es que generalmente puede descargar el archivo de fuente y servirlo localmente, lo que también guardará una búsqueda de DNS en su página, haciendo las cosas un poco más rápidas probablemente. Aunque compruebe los términos de la licencia, debería hacerlo de todas formas, por supuesto, ya que no todas las fuentes "gratuitas" son gratuitas para uso comercial o pueden descargarse en sus propios servidores.
En el pasado, también ha habido problemas de seguridad relacionados con las fuentes, ya que los motores de renderizado son susceptibles a una variedad de piruetas.
Aquí hay una referencia de otro sitio SO: enlace
Las fuentes web se pueden bloquear por seguridad y privacidad. Una de las extensiones en mi Chrome en realidad tiene una configuración para bloquear los webfonts para la protección de huellas dactilares.
Si sabe que un dominio está en la lista blanca (es decir, las fuentes web de Google Fonts) se considera seguro y lo más probable es que ya esté en caché en el sistema cliente para hacer que las velocidades de descarga sean más rápidas. Ha habido algunos ataques en el pasado (ejecución remota de código) utilizando fuentes web como un vector de ataque. Sin embargo, la frecuencia de este tipo de ataque es pequeña y, como se mencionó, es probable que haya otras formas de tomar huellas digitales además de las fuentes web.
Idealmente, desde la perspectiva de la experiencia del usuario, el desarrollador / diseñador web debería usar fuentes web de fuentes confiables de todos modos como Google Fonts. No solo aceleraría la navegación de páginas web (si ya está en caché) sino que también tiene un buen propósito para aquellos (políticas corporativas e individuos) que tienen una mentalidad de privacidad y seguridad.
Lea otras preguntas en las etiquetas corporate-policy