¿Podría ser peligrosa una pregunta de SE que ejecuta un SVG desde un sitio web privado?

Navega tus respuestas
2

Esta pregunta de SE (ahora eliminada, por lo que no se ve fácilmente) contiene un SVG animado que se carga desde un privado. sitio web en lugar de los GIF habituales alojados por imgur. La línea es: 

![https://www.moonwards.com/img/animations/transfer_time.svg][1]

  [1]: https://www.moonwards.com/img/animations/transfer_time.svg

¿El sitio web puede comenzar a recopilar las direcciones IP de los usuarios y espectadores de SE de esta manera? ¿Hay otros problemas potenciales?

He mirado las respuestas a Recibí un archivo SVG sospechoso a través de un mensaje de Facebook. ¿Qué hace? pero no estoy seguro de cómo se aplica aquí.

    
pregunta uhoh 05.09.2017 - 22:34
fuente

1 respuesta

5
  

¿El sitio web puede comenzar a recopilar las direcciones IP de los usuarios y espectadores de SE de esta manera?

Sí. Hotlinking imágenes incrustadas es una característica de SE que ha sido criticado por los usuarios en el pasado . En su ejemplo, cada visitante de la página de preguntas también envía involuntariamente una solicitud a la imagen SVG remota en segundo plano. De esta manera, todos los que vean la pregunta revelan su dirección IP, la cadena de agente de usuario, la referencia y otros detalles del navegador al host de terceros, potencialmente no confiable.

  

¿Hay otros problemas potenciales?

  • Generalmente , los documentos SVG son capaces de entregar contenido de script activo. Por lo tanto, permitir a los usuarios de su sitio web la carga sin restricciones de imágenes SVG podría crear una amenaza XSS persistente. Sin embargo, cuando un archivo SVG se incrusta como <img src=...> , como se hizo en SE, el navegador lo bloquea para que no ejecute ningún código del lado del cliente. Por lo tanto, los SVG no representan una amenaza mayor que las imágenes GIF o JPEG.

  • Otro efecto negativo de la conexión en caliente es que el host de terceros podría decidir reemplazar la imagen de manera silenciosa por publicidad u otro contenido inapropiado en cualquier momento. (Puede encontrar algunos ejemplos de la vida real aquí .)

  • Se pueden usar archivos SVG especialmente diseñados para agotar la memoria. Esto se conoce como el ataque de millones de risas . Sin embargo, como un ataque DoS leve, es más una molestia que una amenaza seria.

  • En algunos navegadores todavía es posible realizar ataques de phishing avanzados mediante presentando un diálogo de Autenticación Básica HTTP para imágenes de enlace directo.

Estoy totalmente a favor de que SE haga cumplir que todas las imágenes incrustadas estén alojadas en un CDN confiable y confiable (por ejemplo, Imgur, como ya se hizo con las cargas directas). La comunidad requiere legítimamente que se citen las fuentes de texto en caso de que un enlace no esté disponible. Por lo tanto, sería lógico también preservar las imágenes en caso de que el host de la imagen se desconecte. (Sin embargo, puede haber implicaciones legales de volver a cargar automáticamente las imágenes con derechos de autor en un CDN).

    
respondido por el Arminius 05.09.2017 - 22:49
fuente

Lea otras preguntas en las etiquetas

¿Por qué Apple no evita el jailbreak de iPhone al encriptar iOS e instalarlo en un chip independiente? ¿Es responsable de firmar una clave OpenPGP sin verificar la identidad de la persona?