I bookmarklets sono sicuri con i dati di Facebook?

11

Di solito gioco a Mafia Wars e uso bookmarklets come Spockholm, Arum, ecc. Questi bookmarklet possono ottenere i miei dati di Facebook quando li eseguo, di solito chiedono di rimuovere la pagina di Facebook?

Mi stavo chiedendo se fosse possibile che stessero rubando le informazioni dei miei amici da Facebook e vendendole agli inserzionisti?

    
posta Nap 08.11.2010 - 07:12
fonte

3 risposte

8

Un bookmarklet è fondamentalmente uno snippet di Javascript che viene eseguito sul sito web. Come tale, ha accesso a tutti i tuoi dati sul sito. La maggior parte dei bookmarklet non fa nulla con i tuoi dati, ma è certamente possibile e devi sempre stare attento.

    
risposta data 08.11.2010 - 07:15
fonte
3

Questo è molto pericoloso. Un altro termine per questo attacco è XSS autoinflitto Questo articolo descrive un tipo di malware che convince i suoi utenti eseguendo il suo payload javascript e poi usa la chat di Facebook per convincere i tuoi amici a eseguire lo stesso codice. In questo modo si diffonde molto come un verme.

    
risposta data 22.01.2012 - 21:28
fonte
2

Devi sempre stare attento, inoltre, con quali risorse accede a un bookmarklet. Ad esempio, una cosa utile e pericolosa è creare un nuovo tag script e aggiungerlo al corpo della pagina. Ciò consente allo script di funzionare in quella pagina, e AFAIK le sue restrizioni di accesso sono le stesse di qualsiasi altro script caricato "nel modo normale". Ho visto i bookmarlets come questo per Firebug Lite e Delicious, ma ce ne potrebbero essere molti altri.

L'utilità è ovvia: puoi fare molto di più, e attività molto più complesse, usando quei dati di pagina. Ma il rischio non è sempre ovvio, dal momento che anche se hai revisionato lo script da solo e non hai riscontrato alcun problema, se non controlli il sito da cui proviene lo script non puoi mai essere sicuro che non verrà sostituito con uno meno sicuro o addirittura malizioso.

D'altra parte, presumo che lo script (proveniente da un'origine diversa) non sia in grado di effettuare richieste HTTP per conto dell'utente, quindi il suo danno sarebbe limitato ai dati già presenti nel browser. Ma non ne sono sicuro, forse qualcuno più esperto in permessi di accesso al browser può rispondere a questo.

    
risposta data 22.01.2012 - 20:51
fonte

Leggi altre domande sui tag