Continuando la discussione da È sicuro consentire caricamenti HTML?:
Le risposte nel thread erano del tipo “perché mai vorresti questo?”. Ho una risposta.
Il nostro forum è dedicato allo sviluppo di giochi basati sul web. Vorrei che i nostri utenti potessero distribuire i loro giochi tra loro utilizzando il forum. (Ma non se ciò causerà un attacco XSS.)
Finché i file HTML caricati avranno sempre “Content-Disposition: attachment” (come sembra che facciano), non sono a conoscenza di alcun attacco XSS che ciò potrebbe abilitare, o anche di un nuovo attacco di phishing. I link al file HTML lo forzeranno a essere scaricato, non aperto direttamente sul sito del forum.
(Noto che Gmail consente agli utenti di scaricare allegati di file HTML; sembra andare bene.)
Naturalmente, gli attacchi di phishing possono essere estremamente semplicistici. Oggi, chiunque a TL1 può inviare un messaggio privato a un utente del forum e dire: “Ciao, sono l’amministratore di questo forum. Per favore, inviami la tua password.” Allo stesso modo, possono già creare un sito web su evil.example.com progettato per assomigliare esattamente alla pagina di accesso del forum, e potrebbero cercare di ingannare gli utenti facendoli cliccare su quel link e digitare la loro password lì.
Immagino che potrebbero anche provare a farlo con un allegato, dicendo “Ciao, gestisco questo forum, per favore scarica questo file e aprilo, OK?” e quel file potrebbe includere una simulazione della pagina di accesso del forum.
Ma scaricare un file HTML e fare doppio clic su di esso non sarebbe più pericoloso dal punto di vista del phishing rispetto a consentire agli utenti di fare clic su un link a un sito web dannoso. E, poiché è più complicato, probabilmente ingannerà meno utenti rispetto all’invio di link a un sito di phishing (il modo tradizionale).
Quindi, c’è un rischio XSS qui? O un sottile attacco di phishing di cui non sono a conoscenza?