引用本地網絡上的網站圖像是否會危及網絡安全？

Question

我管理一個組織的網站，該組織擁有一個網絡，數百個用戶將在任何給定的15分鐘內訪問它。當用戶打開瀏覽器時，顯示組織的主頁。這個主頁上有幾個圖像。爲了節省帶寬給遠程Web服務器（與本地網絡根本不存在關聯），索引文件會檢查請求者的IP地址，如果它來自網絡內部，它將顯示一個修改後的網頁，其中圖像從網絡上的本地共享驅動器中提取。

從本質上講，代碼是這樣的：

<image src="file:\\\D:/hp/picture.jpg" /> 

我已經告訴網絡管理員，這是因爲它帶來了極大的安全隱患，並且該文件夾必須被立即刪除不可接受的。

我敢肯定這不是一個風險，因爲它是從本地網絡而不是遠程服務器請求文件的瀏覽器，並且如果請求來自本地網絡用戶無論如何都可以訪問有問題的驅動器。

我在這裏忽略了什麼？這個單一圖像標籤能否給網絡帶來「極大的安全風險」？

一些背景知識，以防止將從此出現明顯的問題：每次

1. 瀏覽器緩存被清除到一個機器一個新的用戶登錄。新用戶大約每15分鐘就有超過500臺機器登錄。
2. 我已請求爲網絡設置全局代理緩存服務器。網絡管理員拒絕這樣做
3. 從網絡內託管是不存在的問題（再次，由網絡管理員的命令）
4. 我無法控制網絡或在決策中有任何部分這是製作的。
5. 每個用戶都可以讀取這個共享驅動器，並且它們都可以對其中的至少一部分100個目錄進行寫訪問。
6. 網絡不通過遠程用戶遠程訪問

預先感謝您對這個幫助（你必須在物理插入網絡訪問網絡或任何驅動器的機器記錄） 。

Answer 1

你爲什麼不使用的服務的共享目錄分享通過HTTP的圖像非常相同的服務器，只需使用：

<image src="http://local-server/images/hp/picture.jpg" /> 

你已經有一個服務器，它使用正確的事軟件。

關於您的另一個要點，它可能是可能是危險的。您允許瀏覽器訪問遠程網站請求的本地文件。我無法想到我頭頂上的任何漏洞，但我寧願避免這種不常見的做法。除非你確定它是安全的，否則你不應該做點什麼（現在你只是不確定它是不安全的）。

Answer 2

標籤本身是一個「很大的安全風險」嗎？當然不是 - 任何網站都可以做同樣的事情（正如你所說，IE8「高興地打開你所要求的一切」）。其中存在的風險是：應該任何網站可以強制客戶端打開任意網絡文件？

從安全角度來看，問題可能不是圖片標籤本身，而是該功能要求允許Internet站點在客戶端的安全上下文中強制訪問本地資源（通過文件：協議）。即使採用同源策略，這也是潛在的危險，因此現代瀏覽器不允許使用它。從Internet區域網站的協議，而「strongly discourages」禁用此功能：

與IE9開始，微軟不允許訪問文件。其他現代瀏覽器具有類似的功能。

據推測，網絡管理員將最終需要從IE8升級。升級到較新的瀏覽器將默認阻止加載本地訪問的圖像。因此，該組織則最終有幾個選擇：

1. 關閉此安全設置，允許任何網站在「可信的參考本地內容
2. 不升級，並使用IE8永久
3. 運行的網站區域「，默認情況下會允許網站執行用戶可以執行的任何操作（啓動進程，刪除文件，讀取數據等）。
4. 開發定製軟件（BHOs，自定義應用程序，HTA等）或使用COTS軟件在本地加載圖像，繞過默認的IE行爲。
5. 接受與不顯示本地圖片

選項（1）顯然是一個安全問題相關的可用性的影響，因爲它需要禁用，防止非本地網站閱讀本地內容的安全設置。選項（2）提出了它自己的安全問題，因爲舊版瀏覽器缺乏較新瀏覽器的某些安全功能（如阻止文件：從Internet區域訪問協議）。選項（3）需要進行管理配置更改，違反最少訪問原則，並且（特別是如果該站點缺少服務器驗證（SSL））會使組織面對新的具有潛在破壞性的攻擊媒介。

這留下了選項4-爲此目的開發/部署軟件;和選項5 - 阻止顯示圖像。最後，管理員可能對IE8有遠大的安全興趣，而使用新瀏覽器不支持的行爲的實現可能會阻礙這種升級，並且可能會合理地抵觸IE8的安全利益。組織。