কেন ইফ্রেমকে বিপজ্জনক এবং সুরক্ষা ঝুঁকি হিসাবে বিবেচনা করা হয়?


124

কেন ইফ্রেমকে বিপজ্জনক এবং সুরক্ষা ঝুঁকি হিসাবে বিবেচনা করা হয়? কেউ এমন কোনও মামলার উদাহরণ বর্ণনা করতে পারে যেখানে এটি দূষিতভাবে ব্যবহার করা যেতে পারে?


5
এটি পুরানো স্ত্রীদের গল্পের মতো শোনাচ্ছে। আপনার ব্রাউজার উইন্ডোটি মূলত একটি বড় আইফ্রেমে।
বিল ক্রিসওয়েল

1
এটি ইতিমধ্যে
স্ট্যাকওভারফ্লোতে

1
@ সামিচ - না, এটি সর্বোত্তম অনুশীলনের বিষয়ে, বিশেষত সুরক্ষা সংক্রান্ত সমস্যাগুলি নয় (এবং আমি কেবলমাত্র সুরক্ষা ইস্যুটি আইফ্রেমেস ব্যবহার করে তৃতীয় পক্ষ থেকে উত্থাপিত হওয়ার কথা ভাবতে পারি )
কোয়ান্টিন

এটি সর্বোত্তম অনুশীলন হিসাবে বিবেচনা না করা হিসাবে এতটা সুরক্ষা নয়, দেখুন: স্ট্যাকওভারফ্লো.com / প্রশ্নগুলি ১০০৮১15১৫ / কেন- উন্নয়নকারীরা- স্বাস্থ্য- ফিফ্রেমে যখন তারা টেবিলগুলি দিয়ে নকশাকৃত, ডিভড সবই কিন্তু আইফ্রেমের প্রয়োজনীয়তা বাদ দেয় তখন তারা অনেক বেশি জনপ্রিয় ছিল।
র্যান্ডম ইউএস 1

প্রায় এক দশক পরে চমত্কারভাবে একটি নিবন্ধ প্রকাশিত হয়েছে যেটি পরামর্শ দেয় যে আপনার সমস্ত তৃতীয় পক্ষের জাভাস্ক্রিপ্ট ইত্যাদি থেকে বিচ্ছিন্ন একটি আইফ্রেমে কোনও ফর্ম রয়েছে এমন কিছু স্থাপন করা সম্ভবত ফর্মগুলি ফসল থেকে রক্ষা করার জন্য প্রয়োজনীয়। hackernoon.com/…
গর্ডনএম

উত্তর:


83

আপনি অন্য ডোমেন থেকে সামগ্রী প্রদর্শন করার সাথে সাথে আপনি মূলত সেই ডোমেনটিকে মেলওয়্যার পরিবেশন না করার জন্য বিশ্বাস করছেন।

প্রতি সেফায় iframes নিয়ে কোনও ভুল নেই। আপনি যদি ইফ্রেমের সামগ্রীটি নিয়ন্ত্রণ করেন তবে তারা পুরোপুরি নিরাপদ।


19
যত তাড়াতাড়ি আপনি অন্য ডোমেন ইত্যাদি থেকে লিঙ্ক লিঙ্ক করা ইত্যাদি ... এই সম্পর্কে iframe নির্দিষ্ট কিছুই নেই।
কোয়ান্টিন

5
সঠিকভাবে প্রয়োগ করা ব্রাউজারগুলি (ওরফে ব্যবহারকারী এজেন্ট) যদি আইফ্রেমের বিষয়বস্তুগুলি আইফ্রেমের বাইরে ফাঁস হতে দেয় না। হোস্ট নথিতে ( <iframe>উপাদান থাকা একটিতে ) উপযুক্ত স্টাইলিং থাকে এবং যদি ইফ্রেমে অবিশ্বস্ত সামগ্রী থাকে তবে সেগুলিতে কোনও সমস্যা নেই। অবশ্যই ব্রাউজারে মডুলোর আসল দুর্বলতা। সংক্ষেপে, একটি <iframe>প্রায় হিসাবে নিরাপদ <a href>
মিক্কো রেন্টালাইনেন

2
একই ডোমেনের অন্তর্গত কোনও লুকানো ইফ্রেম সম্পর্কে কী? এটি কি সম্পূর্ণ নিরাপদ?
Ciaran গ্যালাগার

2
<iframe>যদি লুকানো আইফ্রেমের অভ্যন্তরের সামগ্রীটি আক্রমণকারী দ্বারা পরিবর্তন করা যায় তবে একই ডোমেন থেকে লুকানো সুরক্ষা ঝুঁকির কারণ হতে পারে। এটি আক্রমণকারীকে <iframe>আপনার সাইটের কোনও পৃষ্ঠায় লুকানো থাকা ভিতরে থাকা এক্সএসএস আক্রমণটিকে প্রসারিত করতে অনুমতি দেবে যা বলে <iframe>ডি কন্টেন্টকে বোঝায় । বিশদ জানতে stackoverflow.com/a/9428051/334451 দেখুন ।
মিক্কো রেন্টালাইনেন

আকর্ষণীয় যথেষ্ট, একটি আইফ্রেম আসলে বিপরীত ক্ষেত্রে থেকে একটি দরকারী সুরক্ষা হতে পারে। আপনার সাইটে যদি তৃতীয় পক্ষের স্ক্রিপ্টগুলি প্রচুর থাকে তবে আপনাকে সেগুলি থেকে ফর্মগুলি আলাদা করতে হবে। এটি করার একটি প্রস্তাব দেওয়া উপায় হ'ল ফর্মটি তার নিজস্ব ন্যূনতম পৃষ্ঠায় কোনও তৃতীয় পক্ষের জাভাস্ক্রিপ্ট ছাড়াই রাখা এবং হোস্ট পৃষ্ঠায় একটি আইফ্রেমে প্রদর্শন করা ছিল। হ্যাকারুনুন.com/…
গর্ডনএম

140

IFRAMEউপাদান একটি নিরাপত্তা ঝুঁকি হতে পারে যদি আপনার সাইটে একটি ভিতরে এমবেড করা হয় IFRAMEপ্রতিকূল সাইটে । গুগল আরও তথ্যের জন্য "ক্লিকজ্যাকিং"। দ্রষ্টব্য যে আপনি ব্যবহার <iframe>বা না ব্যবহার করে তা বিবেচ্য নয়। এই আক্রমণ থেকে একমাত্র আসল সুরক্ষা হ'ল এইচটিটিপি শিরোনাম যুক্ত করাX-Frame-Options: DENY এবং আশা করা যায় যে ব্রাউজারটি তার কাজটি জানে।

তদ্ব্যতীত , যদি আপনার সাইটের কোনও পৃষ্ঠায় কোনও এক্সএসএস দুর্বলতা থাকে তবে এটি ব্যবহার করা যেতে পারে তবে আইফ্রাম উপাদানটি সুরক্ষা ঝুঁকিপূর্ণ হতে পারে । সেক্ষেত্রে আক্রমণকারী এক্সএসএস আক্রমণটিকে একই ডোমেনের যে কোনও পৃষ্ঠায় প্রসারিত করতে পারে <iframe>যা এক্সএসএস দুর্বলতার সাথে পৃষ্ঠায় থাকা কোনও পৃষ্ঠাতে লোড করতে রাজি করা যেতে পারে । কারণ একই উত্স (একই ডোমেন) থেকে প্রাপ্ত সামগ্রীকে প্যারেন্ট সামগ্রী DOM অ্যাক্সেস করার অনুমতি দেওয়া হয় ("হোস্ট" নথিটিতে কার্যত জাভাস্ক্রিপ্ট চালানো হয়)। এই আক্রমণ থেকে একমাত্র আসল সুরক্ষা পদ্ধতি হ'ল এইচটিটিপি শিরোনাম যুক্ত করা X-Frame-Options: DENYএবং / অথবা সর্বদা সঠিকভাবে সমস্ত ব্যবহারকারীর জমা দেওয়া ডেটা এনকোড করা (যা আপনার সাইটে কখনও এক্সএসএস দুর্বলতা নেই - সম্পন্ন করার চেয়ে সহজ বলা হয়েছে)।

এটি ইস্যুটির প্রযুক্তিগত দিক। এছাড়াও, ব্যবহারকারীর ইন্টারফেসের সমস্যা রয়েছে। যদি আপনি আপনার ব্যবহারকারীদের বিশ্বাস করতে শেখেন যে লিঙ্কগুলি ক্লিক করার সময় ইউআরএল বারটি পরিবর্তন করা উচিত নয় (যেমন আপনার সাইটটি সমস্ত প্রকৃত সামগ্রীর সাথে একটি বড় আইফ্রেম ব্যবহার করে), তবে প্রকৃত সুরক্ষার ক্ষেত্রে ব্যবহারকারীরা ভবিষ্যতে কিছুই লক্ষ্য করবেন না দুর্বলতার। উদাহরণস্বরূপ, আপনার সাইটের মধ্যে আপনার কাছে একটি এক্সএসএস দুর্বলতা থাকতে পারে যা আক্রমণকারীকে আপনার আইফ্রেমের মধ্যে প্রতিকূল উত্স থেকে সামগ্রী লোড করতে দেয়। কেউই তফাতটি বলতে পারেনি কারণ URL বারটি এখনও পূর্বের আচরণের সাথে অভিন্ন দেখায় (কখনও পরিবর্তিত হয় না) এবং সামগ্রীটি ব্যবহারকারীর শংসাপত্রগুলির অনুরোধ বৈরী ডোমেনের হয়েও "দেখায়" বৈধ।

যদি কেউ দাবি করে যে <iframe>আপনার সাইটে কোনও উপাদান ব্যবহার করা বিপজ্জনক এবং সুরক্ষার ঝুঁকির কারণ হয়ে দাঁড়ায়, তবে তিনি কী <iframe>উপাদানটি করেন তা বুঝতে পারেন না বা তিনি <iframe>ব্রাউজারগুলিতে সম্পর্কিত দুর্বলতার সম্ভাবনা সম্পর্কে কথা বলছেন । <iframe src="...">ট্যাগের সুরক্ষা সমান <img src="..."বা <a href="...">যতক্ষণ না ব্রাউজারে কোনও দুর্বলতা নেই। এবং যদি কোনও উপযুক্ত দুর্বলতা থাকে তবে এটি <iframe>, <img>বা <a>উপাদান ব্যবহার না করেও এটি ট্রিগার করা সম্ভব হতে পারে , সুতরাং এই সমস্যাটির জন্য এটি বিবেচনার জন্য উপযুক্ত নয়।

তবে, সাবধান করে নিন যে এর থেকে প্রাপ্ত সামগ্রী <iframe>ডিফল্টরূপে শীর্ষ স্তরের নেভিগেশন শুরু করতে পারে । এটি হ'ল, এর মধ্যে থাকা সামগ্রীতে <iframe>স্বয়ংক্রিয়ভাবে বর্তমান পৃষ্ঠার অবস্থানের উপরে একটি লিঙ্ক খোলার অনুমতি দেওয়া হয়েছে (নতুন অবস্থান ঠিকানা বারে দৃশ্যমান হবে)। এড়ানোর একমাত্র উপায় হ'ল sandboxমান ব্যতীত গুণাবলী যুক্ত করা allow-top-navigation। উদাহরণস্বরূপ <iframe sandbox="allow-forms allow-scripts" ...>,। দুর্ভাগ্যক্রমে, স্যান্ডবক্স সর্বদা সমস্ত প্লাগইন অক্ষম করে। উদাহরণস্বরূপ, ইউটিউব সামগ্রীটি স্যান্ডবক্স করা যাবে না কারণ এখনও সমস্ত ইউটিউব সামগ্রী দেখতে ফ্ল্যাশ প্লেয়ারের প্রয়োজন। কোনও ব্রাউজার একই সাথে প্লাগিনগুলি ব্যবহার এবং শীর্ষ স্তরের নেভিগেশনটিকে অস্বীকার করার পক্ষে সমর্থন করে না।

মনে রাখবেন যে X-Frame-Options: DENYপারফরম্যান্স পার্শ্ব-চ্যানেল আক্রমণকে রেন্ডারিং থেকে সুরক্ষা দেয় যা সামগ্রী ক্রস-অরিজিন (" পিক্সেল পারফেক্ট টাইমিং অ্যাটাকস " নামে পরিচিত ) পড়তে পারে ।


ভাল, তবে "This is because content from the same origin (same domain) is allowed to access the parent content DOM (practically execute JavaScript in the "host" document)."আইফ্রেমে (সন্তানের) নথিতে একটি এক্সএসএস দুর্বলতা সম্বলিত (পিতা-মাতা) নথির দিকনির্দেশে পুনরায় প্রতিস্থাপন করা উচিত নয় ?
শুজেং

@ শুঝেং দুর্বলতা উভয় উপায়ে চলেছে এবং আপনি যদি <iframe>কোনও পৃষ্ঠায় ব্যবহার করেন তবে এটি আইফ্রেমের মধ্যে থাকা সামগ্রী থেকে হোস্ট ডকুমেন্ট পর্যন্ত দুর্বলতা বাড়িয়ে তোলে । প্রশ্নটি <iframe>বিপজ্জনক হওয়ার বিষয়ে ছিল এবং হোস্ট নথিতে যদি XSS দুর্বলতা থাকে তবে আপনার সত্যিকারের <iframe>উপাদানটির প্রয়োজন নেই ।
মিক্কো রেন্টালাইনেন

13

আমি ক্রস-ডোমেন আইফ্রেম ধরে নিচ্ছি যেহেতু সম্ভবত আপনি নিজেরাই এটি নিয়ন্ত্রণ করলে ঝুঁকি কম হবে would

  • আপনার সাইটটি যদি আইফ্রেম হিসাবে অন্তর্ভুক্ত করা হয় তবে ক্লিকজ্যাকিং একটি সমস্যা
  • একটি আপোস করা আইফ্রেম দূষিত সামগ্রী প্রদর্শন করতে পারে (আইফ্রেম কোনও বিজ্ঞাপনের পরিবর্তে লগইন বাক্স প্রদর্শন করছে তা কল্পনা করুন)
  • একটি অন্তর্ভুক্ত iframe নির্দিষ্ট জেএস কল যেমন সতর্কতা এবং প্রম্পট করতে পারে যা আপনার ব্যবহারকারীকে বিরক্ত করতে পারে
  • একটি অন্তর্ভুক্ত ইফ্রেমে লোকেশন হারেফের মাধ্যমে পুনর্নির্দেশ করতে পারে (হায়, কল্পনা করুন একটি 3 পি ফ্রেম গ্রাহককে bankofamerica.com থেকে bankofamerica.fake.com এ পুনঃনির্দেশ করুন)
  • 3 পি ফ্রেমের অভ্যন্তরে ম্যালওয়্যার (জাভা / ফ্ল্যাশ / অ্যাক্টিভ এক্স) আপনার ব্যবহারকারীকে সংক্রামিত করতে পারে


আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.