Jump to content
  • 0

Окно авторизации при вставке IMG

Hint

Asked by Hint,

 Share

Question

Hint Explorer

Hint

Posted
Posted (edited)

У пользователей есть возможность вставлять в свои сообщения определенные теги (актуально для форумов, комментариев и т.д.).

Злоумышленники вставляют картинки, которые находятся в закрытой зоне (сервер возвращает 401 Unauthorized); браузер запрашивает у пользователя пароль; неопытный пользователь вводит свои данные; злоумышленники получают логины и пароли. Можно ли как-то от этого защититься? Да, попадаются единицы, но все равно очень критично (не говоря уже о том, что всех остальных всплывающие окна авторизации сильно раздражают). Реально что-нибудь сделать? Или единственное решение - отключение тега img?

Edited by Hint
Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
rus Explorer

rus

Posted
Posted
У пользователей есть возможность вставлять в свои сообщения определенные теги (актуально для форумов, комментариев и т.д.).

Злоумышленники вставляют картинки, которые находятся в закрытой зоне (сервер возвращает 401 Unauthorized); браузер запрашивает у пользователя пароль; неопытный пользователь вводит свои данные; злоумышленники получают логины и пароли. Можно ли как-то от этого защититься? Да, попадаются единицы, но все равно очень критично (не говоря уже о том, что всех остальных всплывающие окна авторизации сильно раздражают). Реально что-нибудь сделать? Или единственное решение - отключение тега img?

ниче не понял про закрытую зону с имагом, но реально сделать проверку на саму картинку, то есть картинка ли это вообще, на ее расширение и на ее существование.

Link to comment
Share on other sites
  • 0
s0rr0w Explorer

s0rr0w

Posted
Posted
У пользователей есть возможность вставлять в свои сообщения определенные теги (актуально для форумов, комментариев и т.д.).

Злоумышленники вставляют картинки, которые находятся в закрытой зоне (сервер возвращает 401 Unauthorized); браузер запрашивает у пользователя пароль; неопытный пользователь вводит свои данные; злоумышленники получают логины и пароли. Можно ли как-то от этого защититься? Да, попадаются единицы, но все равно очень критично (не говоря уже о том, что всех остальных всплывающие окна авторизации сильно раздражают). Реально что-нибудь сделать? Или единственное решение - отключение тега img?

При вставке картинки, пробовать стянуть контент. Если ответ http отличный от 200, то удалять код картинки.

Link to comment
Share on other sites
  • 0
Hint Explorer

Hint

Posted
  • Author
Posted (edited)

Вот пример:

удалено

Согласитесь, как минимум раздражает. Странно, что защита от подобных махинаций не предусмотрена стандартами. Неужели не существует решения? Какие-нибудь специальные http заголовки, meta и др.

P. S. Введенные данные не сохраняются на сервере (только в COOKIES). Каждый видит "свою" картинку.

Edited by s0rr0w
Link to comment
Share on other sites
  • 0
hf3 Explorer

hf3

Posted
Posted

Как вариант - запретить вставлять картинки со стороны. - Либо собственный маленький хостинг на сайте, либо белый список 10 - 15 самых известных хостингов.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy

  I accept