¿Son los archivos de componentes HTML (HTC) un posible vector de ataque?

7

Estoy trabajando en un sitio que tiene una preocupación más alta de lo normal por la seguridad del usuario. Recientemente he estado trabajando en algunos problemas de CSS con versiones anteriores de IE (admitimos 7 y versiones posteriores) y encontré que una solución fácil para algunos de ellos sería el uso de archivos de componentes HTML (.htc) para agregar ciertos comportamientos de CSS3. enlace

Alguien me dio una sugerencia incierta de que estos métodos podrían conducir a un problema de seguridad, ya sea por parte de comprometer el navegador del cliente o el servidor (este último me sorprendería). He intentado hacer un poco de investigación en Google, pero no pude encontrar fácilmente ninguna mención de tales problemas. ¿Alguien aquí tiene más información sobre este problema?

    
pregunta Katana314 02.01.2014 - 18:41
fuente

1 respuesta

1

No estoy muy familiarizado con ellos, pero no puedo ver nada inseguro acerca de ellos de manera general, puedo imaginar los riesgos de que se usen de manera insegura, sin embargo, los riesgos típicos del tipo de las diez principales de owasp provienen de la confianza de los usuarios. mucho.

¿Está permitiendo que estos archivos / otro contenido CSS / html se carguen o editen con una entrada no confiable? ¿Pueden los usuarios que no son de confianza editar los archivos en el servidor? Si la máquina cliente está comprometida (malware, etc.), pueden sin duda alterarla, pero eso es un punto discutible de todos modos.

Aquí también se menciona htc, pero parece encajar dentro de los riesgos anteriores: Ataques basados en CSS

    
respondido por el pacifist 03.01.2014 - 00:54
fuente

Lea otras preguntas en las etiquetas