web-dev-qa-db-fra.com

Pourquoi les ressources d'images chargées à partir de différentes origines déclenchant des dialogues d'authentification HTTP seraient-elles nuisibles?

De https://developer.mozilla.org/en-US/docs/Web/HTTP/Authentication , il dit:

Une faille de sécurité potentielle récemment corrigée par les navigateurs est l'authentification des images intersites. À partir de Firefox 59, les ressources d'images chargées d'origines différentes dans le document actuel ne sont plus en mesure de déclencher des boîtes de dialogue d'authentification HTTP (bogue 1423146), ce qui empêche le vol des informations d'identification de l'utilisateur si les attaquants pouvaient intégrer une image arbitraire dans une page tierce.

Comment les informations d'identification de l'utilisateur pourraient-elles être volées? L'authentification a lieu entre l'utilisateur et le site Web source de l'image, tandis que le site Web "page tierce" n'est pas impliqué.

35
Rick

Comme indiqué dans le rapport de bogue , le problème est qu'une boîte de dialogue d'authentification apparaît sur trustworthy.com, donc les utilisateurs inconscients (et soyons honnêtes, de nombreux utilisateurs qui font également attention) taperont leur nom d'utilisateur et leur mot de passe, sans se rendre compte qu'ils les envoient en fait à malicious.com. Combinez cela avec un domaine très similaire (par exemple trustw0rthy.com), et la seule raison pour laquelle un utilisateur ne donnerait pas ses informations d'identification est qu'il n'a jamais vu trustworthy.com utilisez Basic Auth avant et cela les rendait suspects.

Par exemple:

Disons que votre banque en ligne à bank.com vous oblige à vous connecter via Basic Auth. Maintenant, l'attaque fonctionnerait comme ceci:

  • Un attaquant parvient à intégrer son image, servi depuis malicious.com, Quelque part dans bank.com où l'utilisateur (vous) chargera l'image.
  • Vous chargez la page sur bank.com qui incorpore l'image de l'attaquant et le navigateur ouvre une boîte de dialogue d'authentification de base.
  • Vous saisissez votre nom d'utilisateur et votre mot de passe pour bank.com, croyant que le site vous demande de vous connecter, mais le navigateur les enverra à malicious.com au lieu.
47
AndrolGenhald