|
阅读:2082回复:4
关于CSS Exfil漏洞,火狐官方有没有加入补丁的想法 |
|
|
1楼#
发布于:2019-04-05 20:47
|
|
|
2楼#
发布于:2019-04-05 11:57
yfdyh000:https://bugzilla.mozilla.org/show_bug.cgi?id=1531601 有报告。这种攻击针对的不仅仅是用户手动输入内容,也不仅仅是某些框架的问题。那篇blog确实有些夸大的地方,但从原理上不仅仅能做键盘记录,还可以造成个人资料/隐私泄漏 非常多的网站,用户的个人信息页面上的数据都是用value属性直接置入到html中的,本站就是个例子。普遍的认知是只有通过js第三方才能获取这类数据,那么在安全防范上可能就会忽视css,让这种攻击能够得手。这也不仅仅是服务器端的事,比如一个userstyle宣称能改善某网站的使用体验,那有多少人会在安装前仔细审读源码看有没有这种攻击? |
|
|
3楼#
发布于:2019-04-04 21:16
https://bugzilla.mozilla.org/show_bug.cgi?id=1531601 有报告。
根据内容,该问题早有人提出并讨论过。https://github.com/w3c/csswg-drafts/issues/2339 机翻+少许润色:【我认为这篇博客文章夸大了这些攻击的严重性,因为表单控件没有(在平台中)将用户输入反映到value属性中。相反,defaultValue DOM属性反映HTML值属性,value DOM属性包含用户输入。 但是,某些框架(例如react)可能改变此模型。 所以我认为这是一个适用于使用某些框架而不是一般页面的页面问题。 ……】 总的来说,某些开发框架会将输入内容暴露到CSS可读,浏览器本身没有这样做。以及,利用该漏洞需要能插入JS和CSS到网页,在这种情况下,攻击者还能做到很多事情,比如显示钓鱼内容。 |
|
|
4楼#
发布于:2019-04-04 21:05
这是css规范允许的行为,而浏览器遵照了css规范,要处理就必然会破坏对规范的兼容度。
就算浏览器端要去处理,也不会按照那个扩展的方式,它那样做对性能影响很大。更可能直接仿照当年处理:visited的方式那样,对用[value]的css规则一禁了之。毕竟正常站点应该没有这么用的。 |
|
