Ho motivi per pensare che il mio messaggio privato sia visto dal supporto del sito su cui sto lavorando. Questo è legale a causa del TOS che dovevo avere quando sono abbonato a questo sito Web.
Comunque, vorrei raccogliere informazioni su di loro per prevenire eventuali futuri problemi in arrivo. Ho pensato a honeypot, questo è come lo immagino:
Invio un bbcode
non riuscito a un amico che conduce a un link simile a un'immagine: [img]http://evil.com/mypicture.png[/im]g
. Presumo che un tale collegamento possa essere una sorta di pagina HTML, utilizzando mod_rewrite
( Apache
) o un ambiente di esecuzione a basso livello come Node.js
.
Questo link porta a un attacco javascript, noto come The Spy in the Sandbox
. In questo messaggio privato, il mio amico lo sa e lo accetta. In questo caso, l'invio di questo link è legale.
Questo diventa complicato quando il supporto scoprirà questo messaggio privato. Penseranno a un basic fallito bbcode
e copieranno / incolleranno il link nel loro browser per vedere l'immagine. L'attacco verrà quindi eseguito nel proprio browser e mi fornirà alcune informazioni su di noi.
-
honeypot è il termine corretto per designare questo attacco?
-
È legale archiviare e leggere le informazioni che ho raccolto?