Dal punto di vista della sicurezza, perché non uno screenshot di API per browser? [chiuso]

0

Voglio dire una javascript api per catturare una pagina html renderizzata, o una finestra corrente, e scaricare il contenuto su un'immagine.

Anche se ci sono attacchi evidenti, come prendere screenshot di informazioni sensibili, non credo che uno screenshot di API sia più malvagio di, ad esempio, essere in grado di registrare i tuoi colpi di chiave con javascript (cosa che già puoi).

Quindi, per me, screenshot api non è più o meno sicuro di qualsiasi altra API esistente, un utente malintenzionato che usa gli attacchi xss può già fare ciò che vuole.

Quindi ci sono altri vettori a cui non ho pensato, che rendono lo screenshot api un no-go per i produttori di browser? Nota che puoi già renderizzare alcuni html tramite canvas / svg e prendere screenshot usando devtool o estensioni.

See:

posta bitinn 03.02.2015 - 18:13
fonte

1 risposta

2

Presumibilmente non dovrebbe acquisire contenuti caricati da altri domini (come iframe o immagini), ma sembra risolvibile.

La spiegazione più semplice è che per qualsiasi funzione esistente deve essere data la priorità su tutte le altre funzionalità che non esistono. Devi venderlo agli sviluppatori e questo sembra avere implicazioni sulla privacy che potrebbero indurre gli utenti a opporvisi.

    
risposta data 03.02.2015 - 19:09
fonte

Leggi altre domande sui tag