使用 Firefox 的链接和 DNS 预取功能时,在以下情况下是否会导致安全风险:
你访问一个带有嵌入链接的帖子,该链接会将你带到一个网站,该网站会尝试在你的电脑上安装 apk,并重定向到大量广告。
但该链接未被点击。
链接预取(或 DNS 预取)是否会开启无需连接到网站本身即可体验“驱动”下载的可能性?
答案1
链接预取有时被认为是一种安全威胁,但人们的看法各不相同。
例如,文章中的计算机应急响应小组 网络浏览器中的 DNS 预取 写道:
如果预取的网页包含恶意代码,则在后台预取网页最终可能导致用户系统受到恶意软件感染(驱动下载攻击)。在这种情况下,受害者的 Web 浏览器将以完全不可见的方式受到攻击,因为感染发生时用户并未点击特定链接。
我必须说,这似乎非常牵强,因为:
- Prefetch 不会下载除 HTML 文件之外的任何文件,并且不会在没有通知用户的情况下下载
- 除非用户点击了该链接,否则 Prefetch 不会在下载的 HTML 页面上执行 JavaScript。
- 预取只有一个级别,即预取页面上的链接不会依次递归预取。
出于这些原因,我认为预取并不危险。主页和包含页面中包含的 JavaScript 危险得多。