Is it safe to allow HTML uploads? の議論を続けます。
スレッドの回答は「なぜそんなことをしたいのですか?」というものでした。私には答えがあります。
私たちのフォーラムは、Webベースゲームの開発に特化しています。ユーザーがフォーラムを使用して互いにゲームを配布できるようにしたいのです。(ただし、XSS攻撃を引き起こす可能性がある場合は 除く。)
アップロードされたHTMLファイルに常に「Content-Disposition: attachment」が付いている限り(実際そうなっているようです)、これによって可能になるXSS攻撃や、ましてや新しいフィッシング攻撃については認識していません。HTMLファイルへのリンクは、フォーラムのサイト上で直接開くのではなく、ダウンロードを強制します。
(GmailがユーザーにHTMLファイル添付をダウンロードさせることを許可していることに注意してください。問題ないようです。)
もちろん、フィッシング攻撃は 非常に単純 に行われる可能性があります。現在、TL1の誰でもフォーラムユーザーにDMを送信して「こんにちは、私はこのフォーラムの管理者です。パスワードを送ってください。」と言うことができます。同様に、フォーラムのログインページと 全く同じように見える ように設計されたウェブサイトを evil.example.com に作成し、ユーザーをそのリンクをクリックさせてパスワードを入力するように誘導しようとすることができます。
添付ファイルでも同様のことを試みることができると思います。「こんにちは、このフォーラムを運営しています。このファイルをダウンロードして開いてください、いいですか?」と言って、そのファイルにはフォーラムのログインページのモックアップが含まれているかもしれません。
しかし、HTMLファイルをダウンロードしてダブルクリックすることは、悪意のあるウェブサイトへのリンクをクリックさせることよりも、フィッシングの観点から危険ではありません。そして、より複雑であるため、おそらく(従来のやり方である)フィッシングサイトへのリンクを送信するよりも、ユーザーを騙すことは少なくなるでしょう。
では、XSSのリスクはありますか? それとも、私が気づいていない微妙なフィッシング攻撃はありますか?