Hot link: cosa sono e perche` evitarli

Security, Techie, ,

Inline linking o hot-link è uno stratagemma usato nella creazione di siti web nei quali le pagine fanno riferimento ad oggetti che non appartengono al dominio in cui questi vengono visualizzati o usati.
Ad esempio quando viene inserita in una pagina web un’immagine vista su un sito di terze parti si possono adottare due tecniche: si puo` copiarla sul proprio sito e visualizzarla, oppure visulizzarla direttamente indicando come fonte il sito di terze parti.

Utilizzando il secondo metodo, molto più veloce e sbrigativo, si realizza un’hot-link, rimanderete sempre all’immagine che risiede sul server dove è ospitato il sito dove l’avete trovata.

In particolare, gli hot-link sono usati con immagini di grosse dimensioni provenienti da altri siti web. Tale procedura comporta un forte sfruttamento in termini di banda e risorse del server in cui sono realmente memorizzate e un utilizzo praticamente nullo del server che contiene il sito web visualizzato.

Tale procedura non è molto corretta e neppure gradita da molti siti, infatti l’utilizzo di hot-link viene spesso proibito, perche` ruba della banda, oltre che dello spazio e delle risorse da un server che non appartiene a chi realizza l’hot-link, e questo non è bello né certamente educato.

Vediamo ora con un esempio pratico perche` realizze un hot-link e` una gran brutta idea.

Un po’ di giorni fa vedo nei file di log di questo web server che e` stato realizzato un hot-link ad un’immagine che avevo postato tempo fa senza nemmeno citarmi come fonte. Oggi e` venerdi`, mi sento buono, e non riporto chi ha realizzato l’hot-link.

Non che a me interessi se mi ruba un po’ di banda o qualche ciclo di CPU, per mia fortuna questo server e` abbastanza sovradimensionato, ma vorrei spiegare cosa comporta quel hot-link e cosa poteva accedere, al di la` di qualche megabyte di banda.

  1. Se fossi stato di fretta
    Se volevo risolvere velocemente la questione, rinomivavo o spostavo l’immagine. Il mio sito non avrebbe avuto problemi ma chi avrebbe visualizzato la pagina contentente l’hot-link non avrebbe visualizzato l’immagine, avrebbe ottenuto un errore di immagine mancante, e avrebbe dato la colpa ad un webmaster incompetente.
  2. Se fossi stato professionale
    Se volevo risolvere la questione in modo professionale avrei aggiunto qualche riga per mod_rewrite come queste:

    RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?miosito.it [NC]
RewriteRule \.(jpg|jpeg|png|gif|bmp)$ - [NC,F,L]

    Cosi che tutti i visitatori che richiedessero l’immagine provenendo dal sito con l’hot-link non la visualizzassero. I visitatori avrebbero dato la colpa nuovamente al webmaster.

  3. Se fossi stato vena di scherzi
    Avrei sostituito l’immagine con un altra. L’immagine oggetto del’hot-link e sul mio sito, quindi sotto il mio totale controllo. E posso farci quello che voglio, se fossi stato in vena di scherzi l’avrei sostituita con un immagine pornografico o di insulti verso i navigatori. Immagino che i visitatori del sito in cui viene visualizzata tale immagine non sarebbero molto felici, e se la prenderebbero con il webmaster di tale sito. E questo ne e` un esempio. (V.M. 27).
  4. Se fossi stato cattivo
    Avrei fatto in modo di sostituire l’immagine con un mio script javascript. Questo sarebbe stato eseguito dal browser del visitatore del sito che mi hot-linka.
    A quello script potrei far fare molte cose, ad esempio far apparire come defacciato il sito al visitatore.
  5. Se fossi veramente cattivo
    Avrei fatto in modo di sostituire l’immagine con un mio script javascript. Questo sarebbe stato eseguito dal browser del visitatore del sito che mi hot-linka.
    Tale javascript avrebbe mostrato l’immagine originaria, come nulle fosse, con la differenza che ad esempio richiamava attack-api, rubava le credenziali e dati di ogni visitatore del sito, e me le inviava. Ogni visitatore di quel sito sarebbe stato attaccato, la privacy della maggior parte di loro sarebbe stata violata e dei dati importanti sarebbere stati trafugati. Con un po’ di fortuna avrei rubato anche le credenziali dell’amministratore del sito che mi ha fatto l’hot-link.

Ora, siamo d’accordo che l’hot-link e` cosa brutta?

Random Posts

Posted by jekil
September 6, 2008

Did you enjoy this post? Why not leave a comment below and continue the conversation, or subscribe to my feed and get articles like this delivered automatically to your feed reader.

Comments

Ciao. Bell’articolo, anche se… ( premetto che sono un autodidatta e non ho fequentato ‘rcorsi o scuole) ma trovo questo articolo mancante di una cosa. cioè non Ti sei assolutamente calato nei panni di CHI fa un hot-link ( non sapevo si chiamassero così). Per esempio c’è il problema del coyright. Io in teoria non potrei copiare un logo della fiat, e, per abbellire un post sulla fiat non potei usarlo. L’hot-link in questo caso può aiutare (risulterebbe tutto in rgola a livello di copright; giusto?). Inoltre un conto è ‘rubare’ banda ad un privato un conto è ‘rubare banda’ ad un megaportale tipo Google o altri di grandi aziende o enti governativi. Non è corretto ma nel caso delle immagini ( secondo il mio modesto parere) non sempre un hot-link è scorretto. Saluti da perugia

Comment by BlogMasterPg on September 6, 2008 @ 3:04 pm

Ciao, innanzituttto grazie :) e non preoccuparti, spesso i corsi o scule non servono a niente.
Bella domanda, risulterebbe tutto a posto dal punto di vista legale? Nel caso del tuo esempio non lo so, perche` spesso le grandi aziende nelle note di copyright dei propri siti inseriscono un “queste risorse non possono essere utilizzate all’infuori di..”.
In un caso generico credo che comunque valga il copyright, perche` anche se tecnicamente non fai una copia fisica, di fatto, comunque realizzi una copia nel momento della consultazione.
Ma secondo me, come dicevo, non e` tanto il rubare banda il vero problema, ma il fatto che ci fa hot link mette inconsciamente il propro sito (e gli utenti del proprio sito!) nelle mani di qualcun altro, che non sempre e` buono e corretto.

Comment by jekil on September 6, 2008 @ 3:24 pm

“rubava le credenziali e dati di ogni visitatore” mi pare un pò eccessivo, dipende anke dal visitatore… e cmq, mi sa ke te la sei presa un pò troppo… susu ke i problemi nella vita sono altri!! Ciao

Comment by cyph3r75 on September 6, 2008 @ 5:12 pm

Caro/a per favore puoi argomentare il tuo “dipende anche dal visitatore”? Perche` c’e`differenza tra belli o brutti? Alti o bassi? O ci sono delle sensate ragioni tecniche?
Ti lascio un hint: il worm Samy, lui di distinzioni non ne faceva ;) Io non me la sono presa, pensi davvero che 100mb di traffio su una linea a tariffa flat possano far incarcare un sopracciglio? Il topic dell’articolo e`, se non si fosse capito, come un malcostume puo` portare a problematiche di sicurezza.

Comment by jekil on September 6, 2008 @ 5:24 pm

Bell’articolo, e blog molto interessante. La sicurezza non e’ pane per i miei denti… ne per i mieni neuroni pero’ di protocolli di rete qualcosa, per passione, conosco e ho trovato i tuoi articoli e documenti, che trattano anche indirettamente di rete e protocolli, ben organizzati e chiari.
Da un post letto per caso come questo ad una serie di riflessioni. Trovo affasciante l’inventiva che puo’ scaturire dalla “semplice” conoscenza, questo articolo con i suoi 5 punti ne e’ un esempio.
Ho sviolinato abbastanza per oggi… ;)
Hola.

Comment by Gianluca on September 7, 2008 @ 10:57 am

Quoto questo articolo, gli hotlink sono una cosa davvero antipatica, una volta quando avevo il mio vecchio sito (non openlinux) c’era un tizio che continuava a hotlinkarmi il mio avatar, usandolo lui come avatar su un forum, e non c’era verso, io continuavo a cambiare nome all’immagine e lui continuava a ricercare il nuovo url e a rilinkarla, ho provato a rinominare l’immagine aggiungendone una col nome vecchio con su scritto do not link etc… ma niente continuava a rilinkarmi l’immagine buona… alla fine ho dovuto adottare i metodi brutali: ho sostituito nuovamente l’immagine con una jpg bianca da 8000×8000 pixel rendendo totalmente inacessibile per diversi giorni ogni pagina che contenesse l’immaginate, pensate in un in un forum!… dopo lo ha capito di non hotlinkare pero’!

Comment by GizMo on September 7, 2008 @ 7:00 pm

LOL GizMo, bel metodo!
apparte gli scherzi, io in genere valuto di volta in volta se sul mio blog mettere un hotlink (manco sapevo si chiamassero così) o copiare sul mio host l’immagine.
Esempio banale, ho fatto un post su wikipedia (anzi, contro wikipedia italia) e non ho considerato grave linkare il loro logo invece di copiarmelo.
In questo caso anzi dovrebbe essere meglio giacchè se loro cambiano logo non devo modificare il post ;-)

Comment by Dass on September 8, 2008 @ 9:06 am

Domanda forse stupida o forse senza risposta, come fai a sapere se qualcuno ha fatto un hot-linking ad un imaggine o altro del tuo sito? E poi xkè, mozilla ad esempio, nei banner che rende disponibili ai webmaster usa l’hot-linking se questa pratica è così malevola come dici? Grazie mille per l’attenzione. Ciao

Comment by Diei on September 8, 2008 @ 3:24 pm

@Diei: per nulla stupida,anzi! Lo scopri guardando gli accessi al web server. Se vedi molti accessi ad una risorsa, ad esempio un’immagine con il campo referral impostato ad un sito che non e` il tuo vuol dire che gli utenti arrivano a quell’immagine da tale sito, vai a vederlo e di solito ci trovi un hot link. Spero di esser stato chiaro. Ciao.

Comment by jekil on September 8, 2008 @ 10:08 pm

Salve
Chi ha richiamato l’ immagine sono io, lo dico apertamente così tagliamo la testa al toro, anche perche’ non ritengo di aver fatto chissa’ che..

- Quoto cyph3r75.

- Ho cancellato l’ articolo (se così si puo’ chiamare un immagine) visto che per una scemenza del genere non mi sembra il caso di creare tutto questo polverone;

In piu’ mi dispiace che Lei mi abbia lasciato quel commento sul mio sito, proprio quando non c’ero… (sono appena tornato dopo quattro giorni da un lavoro fuori dalla mia regione) anche perche’ ho avuto dei rallentamenti allucinanti fino all’ eliminazione dello stesso… Casualita’?

- Aggiungo comunque che quest’ articolo mi pare ben scritto, diamo a Cesare quel che e’ di Cesare, anche se proprio un santo non era ma come avrebbe potuto sostenere Cleopatra amava la Topa(tm) e quindi mi sta simpatico.

- A proposito… In questo Suo articolo
http://www.lonerunners.net/1222-io-e-la-politica.html
l’ immagine in questione e’ richiamata da questo indirizzo:
http://www.voisietequi.it/images/grafici_utente/20080407/e07e4a1a.png

Erro nel dire che e’ un hot-link?
Mi sa di no.

- Un’ altra cosa noiosa e’ dover inserire la propria mail per aggiungere un commento, quando non c’e’ modo di reperire la Sua. Vero anche che potrei scriverne una fittizia, cosa che non ho fatto per darLe modo di rispondere anche in privato qualora Lei ne sentisse il bisogno.

Le auguro una buona continuazione
WebDataBank

Comment by WebDataBank on September 9, 2008 @ 2:05 am

@WebDataBank: Ciao, intanto io non sono ne` Dio ne` credo che serva una gran formalita` per parlarmi, quindi non serve darmi del lei. Rispondo per punti:
1) e io quoto la sua risposta, questa non e` un’accusa a nessuno, e` solo una mera disquisizione su cosa e` un hot link e sulle problematiche di sicurezza che ne sono legate. Come ho detto varie volte a me qualche mega in piu` di banda non da fastidio.
2) Come ho detto, questa e` una pura disquisizione, se volevo accusare qualcuno lo facevo mettendo i riferimenti o scrivendo direttamente una mail privata all’interessato. Invece non l’ho fatto, proprio perche` questa e` una discussione generica non il processo di Biscardi. Il commento che ho lasciato non era per nulla accusatorio, anzi aveva toni simpatici. Mi spiace molto che una semplice discussione tecnica che non presentava nessuna accusa, ma bensi solo un’analisi, sfoci in polemica. Take it easy e con una birra e quattro risate anche ci puo` divertire.
3) Ahaha :) Questa e` bellissima ;)
4) Certo, quello e` un hot link. Ma il sito a cui punta e` tra virgolette “un servizo” che lo prevede, indicandolo esplicitamente con “inserisci quest’immagine nel tuo sito”. Diciamo che e` il loro modo di farsi pubblicita`, un e-business un po’ particolare.
5) Si, su questo concordo, diciamo che e` in fase di valutazione se mantentere il campo obbligatorio o no.
PS: non sono uno che censura commenti, non lo ritengo corretto, i 2 gg di attesa sono dovuti a miei impegni che non mi lasciano mai un minuto libero, e appena trovo un altro minuto rispondo anche alla mail.

Comment by jekil on September 11, 2008 @ 10:45 am

Quoto… Birra e quattro risate.

Buona continuazione.
WebDataBank

Comment by WebDataBank on September 11, 2008 @ 4:09 pm

[...] Hot link: cosa sono e perche` evitarli, in cui si descrive anche il modo più utilizzato per evitarli, utilizzando il mod_rewrite. [...]

Pingback by Ferris WebLab » Hotlink o backlink? on January 11, 2009 @ 11:40 am

non sono convinto che la 4 e la 5 sono tecnicamente possibili… devi richiamare direttamente l’immagine x fare quello che dici e non solo la pagina del sito che hotlinka. mi sbaglio?

Comment by erbusco on May 16, 2009 @ 9:51 pm

Purtroppo ti sbagli. Basta sostituire l’immagine soggetto di hotilink (sul tuo sito, che tu controlli) con qualcosa di malevolo. E quel qualcosa di malevolo sara` richiamato dal sito che ti fa l’hotlink.

Comment by jekil on May 17, 2009 @ 1:31 pm

Ciao, nenachio sono convinto che la 4 e la 5 siano possibili.
Dici che basta sostituire l’immagine soggetto di hotilink con qualcosa di malevolo…
Quel qualcosa di malevolo sarà richiamato ma non è detto venga eseguito.
Secondo me quando si apre una pagina il browser controlla se si tratta di un immagine o meno e dunque se trova codice javascript o altro credo che non lo prenda in considerazione.
(intendo nella source del tag img)

Cmq se l’hai provato e dici che funziona allora cambia subito browser perchè il tuo non è sicuro ;D

Comment by sfondi on June 27, 2009 @ 12:54 pm

Ahah :)
Allora disinstalla subito tutti i tuoi browser e installa lynx (per chi non lo sa un browser testuale). Nessun browser e` sicuro. E tutti in certe circostanze, leggi immagine GIF fatta ad hoc, portano all’esecuzione di codice.
Evitiamo i luoghi comuni per favore…

Comment by jekil on June 28, 2009 @ 11:35 am
Leave a comment

(required)

(required)