I bookmarklets sono sicuri con i dati di Facebook?

Un bookmarklet è fondamentalmente uno snippet di Javascript che viene eseguito sul sito web. Come tale, ha accesso a tutti i tuoi dati sul sito. La maggior parte dei bookmarklet non fa nulla con i tuoi dati, ma è certamente possibile e devi sempre stare attento.

Questo è molto pericoloso. Un altro termine per questo attacco è XSS autoinflitto Questo articolo descrive un tipo di malware che convince i suoi utenti eseguendo il suo payload javascript e poi usa la chat di Facebook per convincere i tuoi amici a eseguire lo stesso codice. In questo modo si diffonde molto come un verme.

Devi sempre stare attento, inoltre, con quali risorse accede a un bookmarklet. Ad esempio, una cosa utile e pericolosa è creare un nuovo tag script e aggiungerlo al corpo della pagina. Ciò consente allo script di funzionare in quella pagina, e AFAIK le sue restrizioni di accesso sono le stesse di qualsiasi altro script caricato "nel modo normale". Ho visto i bookmarlets come questo per Firebug Lite e Delicious, ma ce ne potrebbero essere molti altri.

L'utilità è ovvia: puoi fare molto di più, e attività molto più complesse, usando quei dati di pagina. Ma il rischio non è sempre ovvio, dal momento che anche se hai revisionato lo script da solo e non hai riscontrato alcun problema, se non controlli il sito da cui proviene lo script non puoi mai essere sicuro che non verrà sostituito con uno meno sicuro o addirittura malizioso.

D'altra parte, presumo che lo script (proveniente da un'origine diversa) non sia in grado di effettuare richieste HTTP per conto dell'utente, quindi il suo danno sarebbe limitato ai dati già presenti nel browser. Ma non ne sono sicuro, forse qualcuno più esperto in permessi di accesso al browser può rispondere a questo.