Czy możliwość ustawienia avataru użytkownika na podstawie adresu URL jest bezpieczne?

Question

Użytkownik podaje adres URL obrazu. Obraz przechodzi walidację, sprawdzamy czy rzeczywiście wskazuje na obraz z odpowiednim rozszerzeniem. Po przejściu walidacji właściwość css avataru użytkownika o nazwie background-image wskazuje na ów URL. Czy takie rozwiązanie jest bezpieczne, czy otwieramy furtkę hakerom? Przy okazji, gdzieś obiło mi się o uszy, że pliki svg mogą być wykorzystane do ataku cross-site-scripting poprzez umieszczenie w nich kodu JS - czy to prawda?

Answer 1

Przy okazji, gdzieś obiło mi się o uszy, że pliki svg mogą być wykorzystane do ataku cross-site-scripting poprzez umieszczenie w nich kodu JS - czy to prawda?

Tak, pliki SVG mogą zawierać kod JS. Niemniej jeśli mamy ustawiony odpowiednio Content Security Policy + wczytujemy obrazek przy pomocy img, to ryzyko jest minimalne.

Niemniej wczytywanie obrazka z zewnętrznej strony może służyć do trackowania innych użytkowników (bo nie wiesz, co robi serwer, zanim nie wyśle obrazka). 

Comments

Tak, pliki SVG mogą zawierać kod JS. Niemniej jeśli mamy ustawiony odpowiednio Content Security Policy + wczytujemy obrazek przy pomocy img, to ryzyko jest minimalne.

Dobrze wiedzieć, dzięki za informację. 

Niemniej wczytywanie obrazka z zewnętrznej strony może służyć do trackowania innych użytkowników (bo nie wiesz, co robi serwer, zanim nie wyśle obrazka). 

Czy byłbyś w stanie bardziej szczegółowo opisać w jaki sposób takie trackowanie mogłoby wyglądać? Czy oprócz tego byłaby możliwość dokonania innego ataku, np cross-site scripting? 

---

Czy byłbyś w stanie bardziej szczegółowo opisać w jaki sposób takie trackowanie mogłoby wyglądać?

Choćby skrypt PHP, który by zapisywał sobie IP + User Agent, a dopiero potem odsyłał obrazek.

Czy oprócz tego byłaby możliwość dokonania innego ataku, np cross-site scripting?  

Hm, jeślibyśmy wyświetlali ten obrazek w img, to raczej dość trudno byłoby zrobić jakiś atak XSS, 

---

Choćby skrypt PHP, który by zapisywał sobie IP + User Agent, a dopiero potem odsyłał obrazek.

Racja, nie pomyślałem o tym. 

  Hm, jeślibyśmy wyświetlali ten obrazek w img, to raczej dość trudno byłoby zrobić jakiś atak XSS,

Spoko, a z czego wynika ta różnica pomiędzy elementem img a elementem np. div z ustawionym background-image? Zakładając, że mamy diva z ustawianym background-image : url('www.evil.com') jak doczepić do czegoś takiego kod js? 

 

Trochę mam dylemat z tymi avatarami bo wiem, że dla użytkownika raczej wygodniejsze jest podanie adresu URL niż pobieranie go na dysk i przesyłanie na serwer. Dobre jest też dla serwera bo nie musi przechowywać pliku. No, ale zastanawia mnie właśnie tak kwestia bezpieczeństwa.

---

Spoko, a z czego wynika ta różnica pomiędzy elementem img a elementem np. div z ustawionym background-image? Zakładając, że mamy diva z ustawianym background-image : url('www.evil.com') jak doczepić do czegoś takiego kod js? 

Ale ja nigdzie nie pisałem o innych elementach ;)

Napisałem, że SVG wsadzone w img nie powinno odpalić skryptu JS – i to prawda. Chodziło mi o to, że dopiero wstawienie SVG przez tag SVG lub object/iframe odpali skrypt. 

---

Napisałem, że SVG wsadzone w img nie powinno odpalić skryptu JS – i to prawda. Chodziło mi o to, że dopiero wstawienie SVG przez tag SVG lub object/iframe odpali skrypt. 

Rozumiem. Podsumowując - jak rozumiem, takie rozwiązanie niesie za sobą jedynie ryzyko śledzenia użytkowników.  Chociaż to jest o tyle utrudnione, że użytkownik sam musiałby wybrać ten spreparowany obrazek. W przypadku plików SVG wykorzystanie elementu img i odpowiednie ustawienie Secury Policy uniemożliwi wstrzykiwanie kodu JS.

---

Chociaż to jest o tyle utrudnione, że użytkownik sam musiałby wybrać ten spreparowany obrazek

Niekoniecznie. Każdy request do danego serwera zostawia po sobie ślad w logach. 

---

No tak, gdybym chciał śledzić użytkowników mógłbym swój avatar ustawić w taki sposób aby odnosił się do www.evil.com i np. każdy użytkownik któremu wyświetliłby się mój avatar przesłałby dane do evil.com.