1. дома
  2. Вопрос и ответ
  3. Могут ли выполняться операции с страницами или они безопасно, независимо друг от друга

Могут ли выполняться операции с страницами или они безопасно, независимо друг от друга

2016-08-06 1 views
0

Мне любопытно, что наложения наложения хрома поставляются надежно и бесшумно, а также может ли кто-то «слушать» внутренние события.Могут ли выполняться операции с страницами или они безопасно, независимо друг от друга

Если пользователь вводил пароль через расширение chrome, могу ли я гарантировать, что ни один другой сценарий браузера не зарегистрировал пароль? Я сделаю хэш-пароль с 2FA, чтобы сетевой запрос был безопасным, но мне любопытно, может ли кто-нибудь получить внутренний HTML-код <input> в рамках действия страницы.

Я спрашиваю, потому что я знаю, что в целом плавающие фреймы небезопасны, если они размещаются в незащищенной среде, где они могут быть «заменены» с двойником, человек в середине, фишинг палитр

Благодарности

источник

2016-08-06 neaumusic

ответ

1

Только если вы ввели какой-либо элемент в веб-страницу, он будет частью веб-страницы (например, код в инъецированном <script>), открытый для любого другого скрипта страницы.

Внутренние страницы и сценарии расширения, такие как всплывающая или фоновая страница панели инструментов, а также среда сценария содержимого (переменные/функции) недоступны из Интернета. За некоторыми исключениями вы даже не можете напрямую обращаться друг к другу внутри вашего внутреннего номера, так как они похожи на разные вкладки/окна: следует использовать обмен сообщениями.

Единственный способ, которым веб-страница может знать, что происходит внутри вашего расширения, - это явно предоставить ему информацию из вашего внутреннего номера. Например, вам нужно будет явно отправлять информацию через DOM-обмен сообщениями. Или через явный механизм externally_connectable.

источник

2016-08-06 09:42:35 wOxxOm

1

Возможно, другие скрипты не могут записывать пароль, однако вам также необходимо защитить входные данные от нативных компонентов, таких как KeyLogger, они всегда могут получить то, что вы набрали, перед тем, как начать работу с браузером. Поэтому я предполагаю, что необходим и собственный компонент, он может бороться с вредоносными кейлоггерами и гарантировать, что они не смогут получить действительный ввод пользователя.

источник

2016-08-08 00:30:19

+0

Да, но ОС не заботится о HTML/CSS/JS - Chrome разрешен операционной системой, и я не думаю, что брандмауэр так же важен, как и с расширениями браузера – neaumusic

Смежные вопросы

 Смежные вопросы