Creo que sé lo que está pasando contigo. En realidad, eso es exactamente lo que hago con la imagen en mi sección "acerca de mí" en mis perfiles de StackExchange. Es un archivo .php
que recopila cierta información sobre el visitante (dirección IP, tipo de navegador, si el visitante está contento o no, etc.). Simplemente reescribí la URL para mostrar dos imágenes diferentes que de hecho son el mismo archivo .php
.
Si permite que las personas accedan a archivos de enlace directo (especialmente los solicitados automáticamente por el navegador, como imágenes), no hay nada que pueda hacer al respecto. El navegador del usuario se conectará al otro servidor (en el que está alojada la imagen) y solicitará la imagen desde allí. Para el navegador, el enlace realmente apunta a una imagen .png
. No puede notar la diferencia, ni su servidor / sitio.
Este es un ataque de ingeniería social en el que el atacante espera que el usuario use un navegador que muestre un diálogo de autenticación para contenidos mixtos. Lamentablemente, Firefox es uno de esos navegadores. En muchos de los casos, si al usuario se le presenta un diálogo de inicio de sesión en el sitio A que realmente se solicita para el contenido cargado desde el sitio B, es muy probable que el usuario ingrese las credenciales del sitio A (su sitio) y le roben su cuenta.
La solución: Tendrá que rechazar los contenidos de hotlinking de este tipo y volver a cargar las imágenes de enlace directo en su servidor y, a continuación, mostrarlas en su sitio web desde allí.
(A partir de febrero de 2016, Firefox aún se ve afectado por este problema entre dominios. Chrome solo muestra que la ventana emergente de los recursos cargados se encuentra en el mismo dominio)