متابعةً للنقاش من هل من الآمن السماح بتحميل ملفات HTML؟:
كانت الردود في الموضوع على شكل “لماذا قد ترغب في ذلك؟” لدي إجابة.
منتدانا مخصص لتطوير ألعاب الويب. أود أن يتمكن مستخدمونا من توزيع ألعابهم على بعضهم البعض باستخدام المنتدى. (ولكن ليس إذا كان ذلك سيسبب هجوم XSS.)
طالما أن ملفات HTML المحملة دائمًا ما تحتوي على “Content-Disposition: attachment” (كما يبدو أنها تفعل)، فأنا لست على علم بأي هجوم XSS قد يتيحه ذلك، أو حتى هجوم تصيد احتيالي جديد. الروابط إلى ملف HTML ستجبر على تنزيله، وليس فتحه مباشرة على موقع المنتدى.
(ألاحظ أن Gmail يسمح للمستخدمين بتنزيل مرفقات ملفات HTML؛ يبدو أن هذا جيد.)
بالطبع، يمكن أن تكون هجمات التصيد الاحتيالي بسيطة للغاية. اليوم، يمكن لأي شخص في TL1 إرسال رسالة مباشرة إلى مستخدم المنتدى ويقول: “مرحبًا، أنا مسؤول هذا المنتدى. يرجى إرسال كلمة المرور الخاصة بك.” وبالمثل، يمكنهم بالفعل إنشاء موقع ويب على evil.example.com مصمم ليبدو تمامًا مثل صفحة تسجيل الدخول للمنتدى، ويمكنهم محاولة خداع المستخدمين للنقر على هذا الرابط وكتابة كلمات المرور الخاصة بهم هناك.
أعتقد أنهم يمكنهم أيضًا محاولة القيام بذلك باستخدام مرفق، قائلين “مرحبًا، أنا أدير هذا المنتدى، يرجى تنزيل هذا الملف وفتحه، حسنًا؟” وقد يتضمن هذا الملف نموذجًا لصفحة تسجيل الدخول للمنتدى.
لكن تنزيل ملف HTML والنقر المزدوج عليه لن يكون أكثر خطورة من منظور التصيد الاحتيالي من السماح للمستخدمين بالنقر على رابط إلى موقع ويب شرير. ولأنه أكثر تعقيدًا، فمن المحتمل أن يخدع عددًا أقل من المستخدمين مقارنة بإرسال روابط إلى موقع تصيد احتيالي (بالطريقة التقليدية).
إذًا، هل هناك خطر XSS هنا؟ أو هجوم تصيد احتيالي خفي لا أعرف عنه؟