È possibile che una pagina Web registri le sequenze di tasti?

3

È possibile aprire una pagina Web in Chrome e può eseguire un'app Web di sorta sulla pagina Web e fare in modo che la pagina Web registri le sequenze di tasti?

    
posta codem 07.10.2015 - 06:44
fonte

3 risposte

5

È possibile implementare un keylogger in javascript ma lo scope è limitato alla pagina web da cui è stato caricato perché javascript limita l'impatto di se stesso sulla pagina web. A volte ci sono exploit che consentono a un utente malintenzionato di uscire dalla sandbox js e possono influire su un ambito più ampio.

Comunque js può essere incluso da un aggressore tramite XSS o un attacco MITM per catturare ciò che sta scrivendo il vicitim. Quindi un utente malintenzionato potrebbe indirizzare le tue credenziali o la chat webapps (se ce n'è una) per esempio.

Ecco perché ti dicono di non includere il tuo js non criptato. Consente agli aggressori MITM di iniettare js in una connessione altrimenti crittografata.

Se sei interessato a come funziona in dettaglio puoi dare un'occhiata qui .

    
risposta data 07.10.2015 - 08:35
fonte
2

Se puoi ignorare la stessa politica di origine del browser, il tuo javascript sarà in grado di eseguire il keylogger in qualsiasi pagina web aperta se interrompi la sandbox che sarai in grado di farlo nel SO .

D'altra parte, se riesci a farlo, dovresti contattare Google perché di solito offrono prezzi di circa 50k a qualcuno che infrange la sicurezza del browser ... :)

Un'altra opzione è eseguire o installare il keylogger come un componente aggiuntivo per il browser o un'applicazione X attiva, ma per questo dovrai accettare e considerare attendibile l'applicazione o installarla, quindi devi veramente fare clic su molto sì e ignorare i lotti di avvertenze ...

Non so se i browser moderni fanno ancora quella domanda o semplicemente ignorano la richiesta di esecuzione dell'applicazione per impostazione predefinita.

    
risposta data 07.10.2015 - 14:38
fonte
1

Ho letto qualcosa di simile a questo articolo l'altro giorno. Fondamentalmente i siti possono acquisire sequenze di tasti in js come altri hanno detto, ma in questo caso stanno utilizzando tali informazioni per profilare l'utente come utente e non necessariamente per la registrazione delle sequenze di tasti per raccogliere ciò che si digita.

    
risposta data 07.10.2015 - 17:54
fonte

Leggi altre domande sui tag