Question Comment puis-je intégrer Perfidies (scanner de vulnérabilité de plug-in de navigateur) sur mon site Web?


Perfidies / Plugindir est le client à Base de données de vulnérabilité du plugin Mozilla. Je pense qu'une variante de ceci est utilisée ici sur ce site est destiné aux utilisateurs finaux.

Je souhaite rediriger tout navigateur utilisant une ancienne version de Java, Silverlight, Flash, etc. vers une page de "quarantaine" leur demandant de mettre à jour leur navigateur avant de pouvoir se connecter.

  • Quelles modifications techniques dois-je apporter pour y parvenir?

  • Quels sont les objets JavaScript spécifiques à Perfidies?

  • Y a-t-il des problèmes de déploiement ou des modifications à apporter?

... ...


31
2018-02-23 04:23


origine


Réponses:


Vous devriez fournir plus de contexte à votre question. Je vais essayer de vous aider en suggérant un moyen de le faire.

Vous avez mentionné que vous souhaitez interdire aux utilisateurs de se connecter, donc je pense que la meilleure façon de procéder est de placer le code de validation dans la page de connexion en tant qu'inclusion javascript. Gardez à l'esprit que, le script étant exécuté sur le client, il n'est pas garanti qu'il s'exécutera réellement et qu'un utilisateur expert puisse contourner votre "protection", par ex. désactiver les scripts. Mais si vous êtes sur un intranet et que vous faites généralement confiance à vos utilisateurs, cela ne devrait pas poser de gros problèmes.

Pour apprendre à utiliser Perfidies, je vous recommande de consulter le fichier suivant que vous devriez pouvoir modifier selon vos besoins (non testé!). https://github.com/ozten/Perfidies-of-the-Web/blob/master/plugincheck_ui.js

La fonction principale à appeler semble être Pfs.findPluginInfos(Pfs.UI.navInfo, browserPlugins, incrementalCallbackFn, finishedCallbackFn). dans le incrementalCallbackFn vous obtenez tous les plugins vulnérables. S'il en existe un, vous pouvez rediriger le navigateur vers votre page.

Voir la page référencée pour voir comment remplir les autres paramètres de fonction.

En ce qui concerne le déploiement, j'autoriserais un moyen de sauter cette vérification, car il existe toujours des cas dans lesquels vous souhaitez autoriser un accès exceptionnel. Si votre patron a besoin d'un rapport en 5 minutes, vous ne voulez pas lui dire qu'il doit d'abord mettre à jour sa version java, simplement parce qu'il y a eu une mise à jour hier qui n'est probablement pas encore exploitée.

Donc, peut-être afficher un gros avertissement rouge pour les utilisateurs essayant d'accéder à la page, mais leur donner un moyen d'ignorer l'avertissement s'ils choisissent de ...


1
2018-03-26 00:24