Continuando a discussão de É seguro permitir uploads de HTML?:
As respostas na thread foram do tipo “por que você faria isso?”. Eu tenho uma resposta.
Nosso fórum é dedicado ao desenvolvimento de jogos baseados na web. Gostaria que nossos usuários pudessem distribuir seus jogos uns para os outros usando o fórum. (Mas não se isso causar um ataque XSS.)
Desde que os arquivos HTML enviados sempre tenham “Content-Disposition: attachment” (como parece ser o caso), não estou ciente de nenhum ataque XSS que isso possa permitir, ou mesmo um ataque de phishing novo. Links para o arquivo HTML forçarão o download, não a abertura direta no site do fórum.
(Observo que o Gmail permite que os usuários baixem anexos de arquivo HTML; parece estar tudo bem.)
Claro, ataques de phishing podem ser extremamente simplistas. Hoje, qualquer pessoa no TL1 pode enviar uma mensagem direta para um usuário do fórum e dizer: “Olá, sou o administrador deste fórum. Por favor, envie-me sua senha.” Da mesma forma, eles já podem criar um site em evil.example.com que é projetado para se parecer exatamente com a página de login do fórum, e eles podem tentar enganar os usuários para que cliquem nesse link e digitem suas senhas lá.
Acho que eles também poderiam tentar fazer isso com um anexo, dizendo: “Olá, eu administro este fórum, por favor, baixe este arquivo e abra-o, ok?” e esse arquivo pode incluir uma maquete da página de login do fórum.
Mas baixar um arquivo HTML e clicar duas vezes nele não seria mais perigoso do ponto de vista de phishing do que permitir que os usuários cliquem em um link para um site malicioso. E, como é mais complicado, provavelmente enganará menos usuários do que apenas enviar links para um site de phishing (a maneira tradicional).
Então, há um risco de XSS aqui? Ou um ataque de phishing sutil que eu não estou ciente?