De https://developer.mozilla.org/en-US/docs/Web/HTTP/Authentication , il dit:
Une faille de sécurité potentielle récemment corrigée par les navigateurs est l'authentification des images intersites. À partir de Firefox 59, les ressources d'images chargées d'origines différentes dans le document actuel ne sont plus en mesure de déclencher des boîtes de dialogue d'authentification HTTP (bogue 1423146), ce qui empêche le vol des informations d'identification de l'utilisateur si les attaquants pouvaient intégrer une image arbitraire dans une page tierce.
Comment les informations d'identification de l'utilisateur pourraient-elles être volées? L'authentification a lieu entre l'utilisateur et le site Web source de l'image, tandis que le site Web "page tierce" n'est pas impliqué.
Comme indiqué dans le rapport de bogue , le problème est qu'une boîte de dialogue d'authentification apparaît sur trustworthy.com
, donc les utilisateurs inconscients (et soyons honnêtes, de nombreux utilisateurs qui font également attention) taperont leur nom d'utilisateur et leur mot de passe, sans se rendre compte qu'ils les envoient en fait à malicious.com
. Combinez cela avec un domaine très similaire (par exemple trustw0rthy.com
), et la seule raison pour laquelle un utilisateur ne donnerait pas ses informations d'identification est qu'il n'a jamais vu trustworthy.com
utilisez Basic Auth avant et cela les rendait suspects.
Par exemple:
Disons que votre banque en ligne à bank.com
vous oblige à vous connecter via Basic Auth. Maintenant, l'attaque fonctionnerait comme ceci:
malicious.com
, Quelque part dans bank.com
où l'utilisateur (vous) chargera l'image.bank.com
qui incorpore l'image de l'attaquant et le navigateur ouvre une boîte de dialogue d'authentification de base.bank.com
, croyant que le site vous demande de vous connecter, mais le navigateur les enverra à malicious.com
au lieu.