Есть ли опасность в кнопке предварительного просмотра в блогах?


6

В моем блоге Wordpress (хотя это может быть справедливо и для других блогов), есть функция веб-страницы предварительного просмотра.

Поэтому, когда я получаю комментарий со ссылкой, я могу навести курсор на ссылку, и она показывает мне предварительный просмотр страницы. Иногда я использую это, чтобы проверять возможные спам-сообщения.

Но есть ли риск в этом? Например, если на веб-странице есть сценарий или атака на основе XSS, может ли мой блог быть скомпрометирован?

Чтобы было понятно, я не говорю о плагине. В разделе комментариев Wordpress люди могут поместить ссылку на свой сайт. Если вы наведите указатель мыши на ссылку, она откроет предварительный просмотр веб-сайта. Это то, о чем я говорил. Это, кажется, встроенная функция Wordpress.

3

В следующем, я полагаю, вы говорите о плагине ShrinkTheWeb для Wordpress. Этот плагин работает с сервером, поддерживаемым людьми ShrinkTheWeb: когда по ссылке происходит «зависание», на ваш сервер отправляется запрос, который затем перенаправляет запрос на сервер ShrinkTheWeb; последний фактически попытается получить доступ к целевому веб-сайту, вычислить миниатюру и отправить его обратно на ваш сервер в виде изображения. Для вашего сервера есть только изображение, и это то, что отправлено обратно в браузер пользователя.

Любой плагин может иметь свои собственные проблемы безопасности, но я бы сказал, что в этом случае риски на стороне сервера ShrinkTheWeb, потому что что сервер, который будет делать фактический доступ к возможно неприятную веб-сайт в конце предоставленной пользователем ссылки. Ваши риски более по следующим направлениям:

  • Если сервер ShrinkTheWeb угнали, это может быть возможно, что она начинает возвращать вредоносные данные вместо эскизов веб-сайтов, как безобидных картинок; в зависимости от того, насколько плохо написан плагин WordPress (я не проверял), это может быть или не быть опасным для вашего сервера или даже в браузере пользователя. Однако, пока сервер ShrinkTheWeb держит линию, он вернет только хорошо сформированные изображения, которые будут безвредны для вашего сервера и браузера пользователя.

  • Скриншоты как-то окажутся «на вашем блоге», поэтому у вас могут возникнуть проблемы с общественными отношениями, если «нежелательные» изображения появятся таким образом. Но это вопрос отслеживания и удаления спама и троллей; здесь нет ничего нового.

  0

Нет, я не говорил о плагине. Я уточню свой вопрос, чтобы сделать его более ясным. 09 авг. 132013-08-09 14:44:34