Pourquoi les ressources d'images chargées à partir de différentes origines déclenchant des dialogues d'authentification HTTP seraient-elles nuisibles?

Comme indiqué dans le rapport de bogue , le problème est qu'une boîte de dialogue d'authentification apparaît sur trustworthy.com, donc les utilisateurs inconscients (et soyons honnêtes, de nombreux utilisateurs qui font également attention) taperont leur nom d'utilisateur et leur mot de passe, sans se rendre compte qu'ils les envoient en fait à malicious.com. Combinez cela avec un domaine très similaire (par exemple trustw0rthy.com), et la seule raison pour laquelle un utilisateur ne donnerait pas ses informations d'identification est qu'il n'a jamais vu trustworthy.com utilisez Basic Auth avant et cela les rendait suspects.

Par exemple:

Disons que votre banque en ligne à bank.com vous oblige à vous connecter via Basic Auth. Maintenant, l'attaque fonctionnerait comme ceci:

• Un attaquant parvient à intégrer son image, servi depuis malicious.com, Quelque part dans bank.com où l'utilisateur (vous) chargera l'image.
• Vous chargez la page sur bank.com qui incorpore l'image de l'attaquant et le navigateur ouvre une boîte de dialogue d'authentification de base.
• Vous saisissez votre nom d'utilisateur et votre mot de passe pour bank.com, croyant que le site vous demande de vous connecter, mais le navigateur les enverra à malicious.com au lieu.