Вы хотите сказать, что если вместо png файла рекламодатель в файле с png расширением подсунет svg файл, он может запустить вредоносный JS?
Это понятно, об этом была речь на первой страницы темы.
Сразу вопрос - причём тут svg, если TC конкретно указал png?
Вопрос - зачем в svg встраивать JS, в чём необходимость?
Дыру конкретного браузера наверняка устранили и я пока не верю, что современные браузеры представляют угрозу для удалённой загрузки графических файлов.
Нужны свежие актуальные примеры, чтобы не обсуждать историю становления защищённости браузеров, а говорить о том, что актуально в настоящий момент.
Некомпетентность в чем? Что я посоветовал бесплатно перевести файл в другой формат и грузить локально?
В чём тут нелепость?
А ну-ка конкретно пример, как можно в пользовательском режиме запустить в браузере C++ код?
Давайте практические примеры со случаями взлома и потом разберемся насколько это необходимое в данном случае знание.
А почему вы позволяете себе подобные выходки в адрес TC? Вы здесь для чего? Чтобы себя развлекать и понты колотить или полезно участвовать в сообществе? Если только троллить, то просто не будем утруждать пальцы, чтобы что-либо друг другу писать.
Как мы старательно выкручиваемся и меняем цвет. Сначала мы выхватываем (и даже не думаем, что это не в тему) страшилку про вредоносный пнг.
Теперь подгрузка картинки с внешнего сайта смешна. Ну, посмейтесь если весело, сами себя посмешили своей нелепостью.
Потому что есть разумная рассчитанная экономия и очевидная экономия, которую даже не надо рассчитывать.
В вашем примере очевидная экономия - сделать с десяток кликов мышкой бесплатно вместо того, чтобы платить 30K специалисту по безопасности там, где он просто не нужен.
С этим никто не спорит, только спец должен выполнять свою работу к месту и в контексте обоснованных расходов.
Провести аудит безопасности движка на предмет возможности удалённого взлома - можно и нужно (и то, в зависимости от масштаба проекта).
А в данном случае это просто вольная фантазия.
А что не гипотеза про 300KK, чтобы совсем выглядело абсурдно.
Не платят частники по 30K спецу по безопасности только для того, чтобы разместить баннер.
Очевидно, что всё можно упростить до нулевой себестоимости.
Допустим, как вариант такое может быть.
А теперь чисто практически. На поиски такого специалиста сколько времени уйдет? (не считая риски, что найденный специалист посоветует что-то вообще бесполезное). Дальше, сколько будут стоить эти разовые услуги?
500 рублей - нет, 1000 рублей - нет, в районе 3-5K? Возможно.
Далее вопрос, захочет Евгений тратить свои деньги в данном объёме, если элементарно за пол минуты сможет пересохранить файл в другом формате, загрузив локально?
Где тут более целесообразное решение?
Этот специалист подскажет не заниматься ерундой, не слушать про неизвестные уязвимости (они и так останутся неизвестными), открыть файл в граф. редакторе, пересохранить в другом граф. формате и грузить локально. Всё.
Подробнее есть информация на эту тему (конкретные случаи взлома)?
А как они исполнятся, если тег <img> уже конкретно описан и никаких JS прицепом к нему нет?
Согласен. Слишком сложные схемы с крайне маловероятным деструктивным воздействием.
Евгений, я бы на вашем месте выдвинул условие - загрузка png картинки локально и саму картинку у себя принудительно переводить webp. Без возможности инициировать у вас php скрипты и проброс редиректов удалённо, навредить вам шансов не будет.
Вообще использовать непроверенные удалённые источники - так себе идея. Думаю, строго обозначить условия локальной загрузки материалов и всё, не сломать себе голову 😉
Слышали звон, но не знаем, где он?
Какое отношение вот это:
--
Для успешной эксплуатации CVE-2024-39717 злоумышленнику необходимо, чтобы пользователь с соответствующими правами (Provider-Data-Center-Admin или Provider-Data-Center-System-Admin) успешно прошёл аутентификацию и вошёл в систему.
Хотя точные обстоятельства использования CVE-2024-39717 пока остаются неясными, национальная база данных уязвимостей США (NVD) сообщает, что Versa Networks подтвердила один случай, когда клиент подвергся атаке. При этом отмечается, что клиент не реализовал рекомендации по настройке межсетевого экрана, выпущенные в 2015 и 2017 годах, что и позволило злоумышленнику воспользоваться уязвимостью без использования графического интерфейса.
имеет к данной теме?