aunsen
小狐狸
小狐狸
  • UID34416
  • 注册日期2010-11-03
  • 最后登录2019-07-14
  • 发帖数42
  • 经验47枚
  • 威望0点
  • 贡献值26点
  • 好评度3点
  • 社区居民
  • 忠实会员
阅读:455回复:4

关于CSS Exfil漏洞,火狐官方有没有加入补丁的想法

楼主#
更多 发布于:2019-04-04 14:01
taoww
狐狸大王
狐狸大王
  • UID39284
  • 注册日期2013-03-18
  • 最后登录2019-07-18
  • 发帖数449
  • 经验404枚
  • 威望0点
  • 贡献值94点
  • 好评度69点
1楼#
发布于:2019-04-04 21:05
这是css规范允许的行为,而浏览器遵照了css规范,要处理就必然会破坏对规范的兼容度。
就算浏览器端要去处理,也不会按照那个扩展的方式,它那样做对性能影响很大。更可能直接仿照当年处理:visited的方式那样,对用[value]的css规则一禁了之。毕竟正常站点应该没有这么用的。
yfdyh000
千年狐狸
千年狐狸
  • UID29079
  • 注册日期2009-06-07
  • 最后登录2019-07-17
  • 发帖数2204
  • 经验1336枚
  • 威望0点
  • 贡献值52点
  • 好评度134点
  • 社区居民
  • 最爱沙发
  • 忠实会员
2楼#
发布于:2019-04-04 21:16
https://bugzilla.mozilla.org/show_bug.cgi?id=1531601 有报告。
根据内容,该问题早有人提出并讨论过。https://github.com/w3c/csswg-drafts/issues/2339

机翻+少许润色:【我认为这篇博客文章夸大了这些攻击的严重性,因为表单控件没有(在平台中)将用户输入反映到value属性中。相反,defaultValue DOM属性反映HTML值属性,value DOM属性包含用户输入。

但是,某些框架(例如react)可能改变此模型。

所以我认为这是一个适用于使用某些框架而不是一般页面的页面问题。

……】

总的来说,某些开发框架会将输入内容暴露到CSS可读,浏览器本身没有这样做。以及,利用该漏洞需要能插入JS和CSS到网页,在这种情况下,攻击者还能做到很多事情,比如显示钓鱼内容。
taoww
狐狸大王
狐狸大王
  • UID39284
  • 注册日期2013-03-18
  • 最后登录2019-07-18
  • 发帖数449
  • 经验404枚
  • 威望0点
  • 贡献值94点
  • 好评度69点
3楼#
发布于:2019-04-05 11:57
yfdyh000:https://bugzilla.mozilla.org/show_bug.cgi?id=1531601 有报告。
根据内容,该问题早有人提出并讨论过。https://github.com/w3c/csswg-drafts/issues/2...
回到原帖
这种攻击针对的不仅仅是用户手动输入内容,也不仅仅是某些框架的问题。那篇blog确实有些夸大的地方,但从原理上不仅仅能做键盘记录,还可以造成个人资料/隐私泄漏
非常多的网站,用户的个人信息页面上的数据都是用value属性直接置入到html中的,本站就是个例子。普遍的认知是只有通过js第三方才能获取这类数据,那么在安全防范上可能就会忽视css,让这种攻击能够得手。这也不仅仅是服务器端的事,比如一个userstyle宣称能改善某网站的使用体验,那有多少人会在安装前仔细审读源码看有没有这种攻击?
yfdyh000
千年狐狸
千年狐狸
  • UID29079
  • 注册日期2009-06-07
  • 最后登录2019-07-17
  • 发帖数2204
  • 经验1336枚
  • 威望0点
  • 贡献值52点
  • 好评度134点
  • 社区居民
  • 最爱沙发
  • 忠实会员
4楼#
发布于:2019-04-05 20:47
taoww:这种攻击针对的不仅仅是用户手动输入内容,也不仅仅是某些框架的问题。那篇blog确实有些夸大的地方,但从原理上不仅仅能做键盘记录,还可以造成个人资料/隐私泄漏
非常多的网站,用户的个人信息页面上的数据都是用value属性直接置入到html中...
回到原帖
userstyle不是普遍情况。userstyle获取后能做什么,可以发出去?用户脚本和扩展有更高风险与可行性。
游客

返回顶部