CB
Не инжект, что если автор странички сам всё добавил)
Size: a a a
2021 July 05
CB
*решил добавить
ES
А, ну то другое дело, но зачем?
CB
Я по другую сторону смотрю, что если вот серфишь ты интернет и какой шанс нарваться на такую страницу)
ES
А что будет? Этот джс скрипт сворует данные с того сайта только
CB
Или смс иногда рассылают со ссылками, человек может думает, перейду ничего не будет, это же не установка апк из недоверенного источника
CB
Эм, ну я все таки думаю, что загрузка страницы = исполнение кода, а что там может быть только самому автору известно, т.е. среда для исполнения произвольного кода
CB
По дефолту браузер заботливо все скрипты загружает со страницы
ES
так джс не имеет доступа к куки чужих сайтов, там такая же система с правами, как в ведре, насколько я знаю
ES
он может своровать данные своего сайта
CB
Он может исполнить код, например хз даже, 2+2 = 4 и записать в файл, условно конечно.. почему я так думаю, потому что JS через canvas(не сильно разбираюсь в этом) имеет доступ к железу и webGL вроде тоже
ES
не знаю, не знаю
ES
есть может такой чат, но по вебу?
CB
Хз
CB
Канвас вроде это api самого браузера
CB
Если интересно есть фреймворк целый под это дело - beef, но мне все равно кажется встретить такое при рандомном серфинге маловероятно
CB
Мне интересно посмотреть на процесс загрузки страницы, как на исполнение чужого кода, причём никому и в голову не придёт разбирать логику JS скриптов на какой-нибудь странице, они ещё и обфусцированы могут быть, тогда только эвристически защищаться. Причём некоторые страницы вообще не работают без JS, что как бы наводит на определённые мысли
CB
Или, могут ли например it гиганты, когда соберут достаточно инфы рандомно модифицировать JS код для определённого пользователя
k
90% в бифе не работает уже давно
CB
Имеется ввиду конечно, что пользователь этот вообще от it очень далёк