¿Existe algún peligro en el botón de vista previa en los blogs?

Navega tus respuestas
6

En mi blog de Wordpress (aunque esto puede ser cierto también en otros blogs), hay una función de vista previa de la página web.

Entonces, cuando recibo un comentario con un enlace, puedo desplazarme sobre el enlace y me muestra una vista previa de la página. A veces lo uso para verificar posibles mensajes de spam.

¿Pero hay algún riesgo en esto? Por ejemplo, si la página web tiene un script o un ataque basado en XSS, ¿puede comprometerse mi blog?

Para que quede claro, no estoy hablando de ningún complemento. En la sección de comentarios de Wordpress, las personas pueden, opcionalmente, publicar un enlace a su sitio web. Si pasa el mouse sobre el enlace, se genera una vista previa del sitio web. Eso es de lo que estaba hablando. Esto parece ser una característica incorporada de Wordpress.

    
pregunta Shantnu 09.08.2013 - 12:00
fuente

1 respuesta

3

En lo siguiente, supongo que estás hablando del ShrinkTheWeb para Wordpress. Este complemento funciona con el servidor mantenido por la gente de ShrinkTheWeb: cuando se realiza un "desplazamiento" a través del enlace, se envía una solicitud a su servidor, que luego reenviará la solicitud al servidor de ShrinkTheWeb; este último realmente intentará acceder al sitio web de destino, calculará una miniatura y la enviará de vuelta a su servidor como una imagen . Para su servidor, solo hay una imagen, y eso es lo que se envía al navegador del usuario.

Cualquier complemento puede tener sus propios problemas de seguridad, pero yo diría que en este caso, los riesgos están en el lado del servidor ShrinkTheWeb, porque es el servidor ese el que hará el acceso real al Posiblemente sitio web desagradable al final del enlace proporcionado por el usuario. Sus riesgos están más en las siguientes líneas:

  • Si el servidor ShrinkTheWeb está secuestrado, es posible que comience a devolver datos maliciosos en lugar de miniaturas de sitios web como imágenes inocuas; Dependiendo de qué tan mal esté escrito el complemento de WordPress (no lo he comprobado), esto puede o no ser peligroso para su servidor o incluso para el navegador del usuario. Sin embargo, mientras el servidor ShrinkTheWeb mantenga la línea, solo devolverá imágenes bien formadas, lo que será inofensivo para su servidor y el navegador del usuario.

  • Las capturas de pantalla aparecerán de alguna manera como "en tu sitio de blog", por lo que es posible que tengas problemas de relaciones públicas si las imágenes "no deseadas" aparecen de esa manera. Pero eso es una cuestión de seguimiento y eliminación de spams y trolls; nada realmente nuevo aquí.

respondido por el Tom Leek 09.08.2013 - 15:26
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los parámetros formales para la selección del escáner de huellas digitales? ¿Cómo ayuda la filtración de información sensible a la explotación en el desarrollo?