Google+ +1 উইজেটগুলি কীভাবে তাদের আইফ্রেমে বিচ্ছিন্ন হয়?

145

কোনওভাবে, Google+ প্লাস-ওয়ান উইজেটের উপর ঘুরে বেড়ানো কোনও টুলটিপ-টাইপ চুক্তিটি প্রবর্তন করতে পারে <iframe>যা এতে থাকা উপাদানটির থেকে পরিষ্কারভাবে বড় is আমি এটি নিশ্চিত করতে ডিওএম পরিদর্শন করেছি *

iframe গণ্ডি

তাই:

  1. কি? কিভাবে !?

  2. যদি এটি দূষিতভাবে ব্যবহার করা হয়, তবে কি ক্লিকজ্যাকিংয়ের জন্য এটি একটি বৃহত সুযোগ নয়? (কল্পনা করুন যে কেউ এই সামাজিক উইজেটের জন্য একটি এমআইটিএম করছেন!)

* আপডেট: আমি যা দেখেছি তা হ'ল টুলটিপ -১ বার্তাটি একটি সেকেন্ডে ছিল, গতিশীলভাবে তৈরি হয়েছিল iframe

html  security  browser  iframe  google-plus-one 
অ্যালান এইচ।
সূত্র

উত্তর:

181

গুগল +1 উইজেটটি জাভাস্ক্রিপ্ট যা আপনার ওয়েবসাইটে তৈরি হয় iframe। এই জাভাস্ক্রিপ্ট উইজেটটি আপনার ওয়েবসাইটের প্রেক্ষাপটে চলছে এবং তাই আইফ্রেমের জন্য মূল উত্তরাধিকার বিধি দ্বারা সীমাবদ্ধ নয় । অতএব এই জাভাস্ক্রিপ্ট উইজেটটি প্যারেন্ট সাইটে যা কিছু ডিওএম ইভেন্টগুলি চাইবে সেট করতে পারে যদিও এটি কেবল একটি সাধারণ হিসাবে দেখা যায় iframe

আরেকটি বিষয়, গুগল কেন ব্যবহার করছে iframe? কেন কেবল divপৃষ্ঠায় একটি উত্পন্ন করবেন না ? ঠিক আছে কারণ লিঙ্কটি উত্স থেকে এসেছে iframe, একটি সিএসআরএফ (ক্রস-সাইট অনুরোধ ফোরজি) টোকেনটি অনুরোধটিতে এম্বেড করা যেতে পারে এবং প্যারেন্ট সাইটটি এই টোকেনটি পড়তে এবং অনুরোধটি জাল করতে পারে না। সুতরাং এটি iframeহ'ল একটি বিরোধী সিএসআরএফ পরিমাপ যা দূষিত পিতামাতার হাত থেকে নিজেকে রক্ষার জন্য অরিজিন উত্তরাধিকার বিধির উপর নির্ভর করে।

আক্রমণ আক্রমণের দিক থেকে এটি ইউআই-রেড্রেসের চেয়ে এক্সএসএস (ক্রস-সাইট স্ক্রিপ্টিং) এর মতো। আপনি গুগলকে আপনার ওয়েবসাইটে অ্যাক্সেস দিচ্ছেন এবং তারা আপনার ব্যবহারকারীর কুকি হাইজ্যাক করতে পারে বা XmlHttpRequestsতারা যদি বেছে নেয় তবে আপনার ওয়েবসাইটের বিরুদ্ধে পারফর্ম করতে পারে (তবে লোকেরা তাদেরকে দূষিত ও ধনী বলে মামলা করবে)।

এই পরিস্থিতিতে আপনি গুগলের উপর বিশ্বাস রাখতে পারেন, কিন্তু গুগল আপনাকে বিশ্বাস করে না।

এই ওয়েব-বাগগুলির গোপনীয়তা প্রভাব প্রশমিত করার উপায় রয়েছে

দাড়কাক
সূত্র
দুর্দান্ত জিনিস - আমি আপনার মন্তব্যের পুনরায় প্রশংসা করছি: এক্সএসএস, যা প্রচুর অর্থবোধ করে। তবুও আমি এখনও কিছু সম্পর্কে নিশ্চিত নই। প্রশ্নের মধ্যে থাকা সামগ্রীটি দেখে মনে হচ্ছে এটি এটির মধ্যে নেই <iframe>, যা আপনি প্রস্তাব করেছেন এটি সত্য হতে পারে (এবং এটি কীভাবে সম্ভব তা ব্যাখ্যা করুন)। তবে এটি দেখে মনে হয় না যে এটি ডিওএম পরিদর্শন করা থেকে শুরু করে। এবং এটি আমার নাম এবং জিমেইল ঠিকানাটি দূষিত পিতামাতাদের কাছে প্রকাশ করবে (যদি না এক সেকেন্ডে আবৃত থাকে iframe)!
অ্যালান এইচ।
3
@ অ্যালান এইচ। হ্যাঁ তারা গতিশীল ইফ্রেমেস নিয়ে কিছু উদ্ভট জিনিসগুলি করছেন। আপনি কী +1 এ ক্লিক করেন আপনি উইন্ডোটি পাবেন যেখানে আপনি মন্তব্য যুক্ত করবেন? আপনি যদি ফায়ারব্যাগ লোড করেন এবং সেই উপাদানটি পরীক্ষা করেন তবে আপনি Plusone.google.com/u/0 / _ / + / ফাস্টবটন? Url = ... এর জন্য একটি আইফ্রেমে এসসিআর পাবেন get এই আইফ্রেমে গুগল + এ জমা দেওয়ার জন্য সিএসআরএফ টোকেন রয়েছে।
রোক
কিছু ক্ষেত্রে আপনি কুকির হাইজ্যাক এড়াতে পারেন এটিকে httponly দিয়ে সেট করে।
seppo0010
1
@ seppo0010 হ্যাঁ তবে এটি এক্সএইচআর বন্ধ করে না।
রোকস
3

গুগল "ফাঁস স্ট্যান্ডার্ড ডিআইভি" রোধ করতে আইফ্রেম ব্যবহার করে। তাদের ক্লোজার লাইব্রেরি ডায়লগ একই কাজ করে। এটি সম্ভবত ঠিক যাতে অন্য সামগ্রীগুলি +1 বোতামে রক্তপাত করতে না পারে। http://closure-library.googlecode.com/svn/trunk/closure/goog/demos/dialog.html

xrd
সূত্র
যেমন রুক তার উত্তরে ব্যাখ্যা করেছেন, <iframe> গুগল +1 উইজেট কোডটি সিএসআরএফ আক্রমণ থেকে নিজের লিঙ্কটি ক্লিক করতে (এবং কৃত্রিমভাবে সাইটের +1 রেটিং উন্নত করতে) ব্যবহার করতে সাইটটি রোধ করতে ব্যবহৃত হয়। এটি সেই অংশ যেখানে গুগল আপনাকে বিশ্বাস করে না।
মিক্কো রেন্টালাইনেন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.