È possibile utilizzare JavaScript per acquisire lo schermo dell'utente? In tal caso, questa funzionalità è disponibile in qualsiasi framework JS?
(Non ho bisogno di esempi di codice: chiedo principalmente di formarsi un'opinione sulle funzionalità di sicurezza di JavaScript.)
JavaScript ha pieno accesso al modello di oggetto documento, quindi almeno in teoria potrebbe catturare ciò che si trova sulla propria pagina Web (ma non nulla al di fuori della finestra del browser) e c'è una libreria per farlo: link (non l'ho provato).
La politica della stessa origine impedisce a JavaScript di accedere al DOM di un altro sito. Poiché JavaScript non può accedere al DOM di un altro sito, non può perdere materiale dall'altro sito. Quindi, se la tua domanda si riduce a se uno script in esecuzione in una scheda, o anche in un iframe, può acquisire la password bancaria da altrove nel browser, quindi no, se la stessa origine è correttamente implementata nel browser stesso.
La stessa origine si applica al dominio da cui è stata servita la pagina , non da cui è stato pubblicato lo script. Quindi, la mia pagina link (non è interessante) può caricare uno script da google-analytics.com, come fa, e quello script ha accesso al DOM della pagina da cui è stato caricato; può anche inviare materiale a Google attraverso un po 'di gioco di prestigio. Il punto è che può farlo solo perché mi sono fidato di Google Analytics abbastanza per caricare il loro script nella mia pagina; il codice che carica la pagina è in markup che ho scritto. Se carichi la mia pagina nel tuo browser, quello script di google-analytics.com può vedere solo il DOM della pagina mia nel tuo browser e non qualsiasi altra cosa che potresti aver aperto nel tuo browser.
Oltre a catturare lo schermo con Javascript, una cosa comune è tenere traccia di movimenti / azioni del mouse su una pagina web. Questa domanda precedente su StackOverflow mostra come acquisire la posizione del mouse in Javascript e jQuery. Con queste informazioni, le persone possono prendere quelle posizioni del mouse e mapparle con uno screenshot della pagina Web (creato utilizzando un altro metodo). Alcuni strumenti comuni come Lucky Orange e Crazy Egg creano mappe di calore di pagine Web in modo che i webmaster possano vedere cosa stanno facendo le persone sul sito web.
Poiché questa domanda si riferisce alla sicurezza, vi è qualche preoccupazione per la sicurezza rispetto alla possibilità di vedere i movimenti del mouse su una pagina web. Gli hacker possono utilizzare queste informazioni per o come parte di attacchi di phishing. Ma non penso che sia una vera preoccupazione.
getUserMedia(); può catturare l'intero desktop.
Questa funzionalità è sperimentale, quindi dovrai dirigere l'utente per attivarlo.
Leggi altre domande sui tag javascript