2019年06月16日

Githubブログパーツと安全性の話

Github の情報をブログパーツっぽく埋め込める便利そうなサービス

GitHub Card - gh-card

…で、飛びつくのは危険である。


ほかにも「ブログパーツ 改ざん」「ブログパーツ 失効」などで検索すればわんさと出てくる。

「そういうリスクは JavaScript を読み込ませるブログパーツだけ。これは画像(IMG要素)だから安全」と思うかもしれない。それでも成立する攻撃がある。

  • 画像にBasic認証をかけると、まるで読み込み元(表示されているページ)が認証を要求しているかのようにポップアップが出る→認証情報を盗める
  • XSRF対策を取っていないサイトをターゲットにした攻撃 (リンクを踏むだけで匿名掲示板に犯罪予告が投稿されるなど)
  • 画像が精神的ブラクラや違法なものに差し替えられることでの社会的・法的リスク

対策としては

  1. ソースをローカルに保存する
  2. 配信元を信頼する

CDN的に配信されているという点がネックなので、ソースが公開されているから云々とは全く別の次元の話。

という具合に、セキュリティ大好きおじさんたちがハッスルしてHNでネガティブ評価が一旦集まった模様。開発者側からしたら、できるだけ誠実にサイトを作り込むとか、あるいはあきらめて各自でダウンロードして設置してね(配信はしない)というスタンスで行くしかないのか。

ネタ元: Show HN: GitHub Repository Card for Every Web Site | Hacker News

ところで最近「ブログパーツ」ってあまり聞かなくなったような気がする。



posted by かぷらす at 22:55| Comment(0) | 日記 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
コチラをクリックしてください
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。