dati utente accessibili tramite javascript nel browser

Naviga le tue risposte
3

Ci sono siti web che visualizzano le informazioni dell'utente, come la versione del browser e il sistema operativo

Questo sito va ancora oltre e visualizza alcune informazioni aggiuntive, come la risoluzione del desktop e anche eventuali interfacce di rete secondarie. Nel mio caso, ha rilevato la mia interfaccia di rete eth1 192.168.0.6

Ho notato che questa informazione è disponibile solo quando javascript è abilitato. Mi chiedo quindi, che altro è accessibile attraverso javascript . In particolare, se javascript può accedere ai file negli utenti home.

    
posta Martin Vegter 08.04.2014 - 20:16
fonte

2 risposte

2

Questo è un bersaglio mobile, poiché esiste un gioco "gatto e topo" quando gli attaccanti scoprono nuove tecniche e i browser implementano nuove difese. In generale, JavaScript:

  • possibile accedere alle informazioni di configurazione del browser e dei plug-in. Il sito che hai collegato sembra essere un buon riassunto delle tecniche attuali.
  • impossibile accedere ai file locali, almeno, a meno che non si trascini e si rilasciano esplicitamente un file (o si usi un campo di caricamento file). Né può accedere alla tua rubrica.
  • può solo accedere ai cookie (e all'archivio locale HTML 5) dal proprio dominio, non da altri.
  • a volte può vedere la tua cronologia web utilizzando Annotazione della cronologia CSS . Questa perdita è in gran parte risolta nei nuovi browser, ma permangono alcuni problemi.
  • può caricare le risorse (ad esempio immagini) da altri siti. Non può accedere al contenuto (a meno che non sia una richiesta inter-dominio esplicitamente consentita).
  • impossibile accedere ai dati JSON da altri siti. Questo era possibile usando JSON Hijacking ma i moderni browser hanno risolto questo problema.
  • può indicare per quanto tempo una risorsa impiega caricare. Questo può essere sfruttato per capire se un utente è connesso a un determinato sito e anche se ha messaggi che corrispondono a una particolare stringa di ricerca.
  • può sfruttare le vulnerabilità (ad esempio lo scripting cross-site, le falsificazioni di richieste tra siti) su altri siti Web e contro il browser stesso.
  • può eseguire calcoli per il proprietario del sito, utilizzando il computer del cliente, ad es. BitCoin mining.

Una domanda interessante correlata è cosa possono fare i contenuti come Java, Flash e PDF? Le mie conoscenze finiscono qui, ma so che un file PDF può stampare un documento senza interazione dell'utente. Abbastanza sorprendente: un browser 2014 completamente aggiornato consente di stampare automaticamente un sito Web non attendibile!

Se vuoi conoscere l'intera storia, leggi Manuale sulla sicurezza del browser .

    
risposta data 08.04.2014 - 20:41
fonte
0

Un altro punto è API GeoLocation , che può essere utilizzato per determinare le tue coordinate.

Se è disponibile e l'utente è d'accordo, puoi farlo 

navigator.geolocation.getCurrentPosition(function(position) {
  do_something(position.coords.latitude, position.coords.longitude);
});
    
risposta data 05.11.2015 - 14:49
fonte

Leggi altre domande sui tag

Cercando di identificare ciò che uno scanner stava cercando Token casuale e chiave di conferma per email di 10 caratteri sufficienti?