Y a-t-il un danger dans le bouton d'aperçu des blogs?


6

Dans mon blog Wordpress (même si cela peut aussi être vrai pour d'autres blogs), il y a une fonction de prévisualisation de la page web.

Donc, quand je reçois un commentaire avec un lien, je peux passer la souris sur le lien, et il me montre un aperçu de la page. Je l'utilise parfois pour vérifier d'éventuels messages de spam.

Mais y a-t-il un risque à cela? Par exemple, si la page Web a un script ou une attaque basée sur XSS, mon blog peut-il être compromis?

Pour être clair, je ne parle pas d'un plugin. Dans la section des commentaires Wordpress, les utilisateurs peuvent publier un lien vers leur site Web. Si vous passez votre souris sur le lien, cela génère un aperçu du site Web. C'est de ça que je parlais. Cela semble être une caractéristique intégrée de Wordpress.

3

Dans ce qui suit, je suppose que vous parlez du plugin ShrinkTheWeb pour Wordpress. Ce plugin fonctionne avec le serveur maintenu par les personnes de ShrinkTheWeb: lorsqu'un "hover" est fait sur le lien, une requête est envoyée à votre serveur, qui transmet ensuite la requête au serveur ShrinkTheWeb; ce dernier essaiera en fait d'accéder au site Web cible, de calculer une vignette et de le renvoyer à votre serveur sous la forme d'une image. Pour votre serveur, il n'y a qu'une image, et c'est ce qui est renvoyé au navigateur de l'utilisateur.

Tout plug-in peut avoir ses propres problèmes de sécurité, mais je dirais que dans ce cas, les risques sont du côté du serveur ShrinkTheWeb, car il est ce serveur qui fera l'accès réel au site Web peut-être méchant à la fin du lien fourni par l'utilisateur. Vos risques sont plus le long des lignes suivantes:

  • Si le serveur ShrinkTheWeb est pris en otage, il pourrait être possible que cela commence à renvoyer des données malicieuses au lieu des vignettes des sites Web comme des images anodines; en fonction de la façon dont le plugin WordPress est mal écrit (je n'ai pas vérifié), cela peut ou peut ne pas être dangereux pour votre serveur ou même le navigateur de l'utilisateur. Cependant, tant que le serveur ShrinkTheWeb tient la ligne, il ne renverra que des images bien formées, ce qui sera sans danger pour votre serveur et le navigateur de l'utilisateur. Les captures d'écran apparaîtront d'une manière ou d'une autre comme étant "sur votre site de blog", vous pourriez avoir des problèmes de relations publiques si des images "non désirées" apparaissent de cette façon. Mais c'est une question de suivi et de suppression des spams et des trolls; Rien de vraiment nouveau ici.

  0

Non, je ne parlais pas du plugin. Je vais mettre à jour ma question pour la rendre plus claire. 09 août. 132013-08-09 14:44:34