我在网站上有登录数据的NPAPI插件。
我想用Native Messaging技术替换它。我已经阅读了文档,但我有一个问题:这项技术安全吗?
黑客可以捕获从JavaScript转移到本机主机应用程序并返回的数据吗?
编辑:合并一个措辞更好的问题:
stdio数据传输的安全性如何?答案 0 :(得分:3)
原则上,可以检查可执行文件所做的stdio调用。
例如,在Linux系统上,您可以使用strace来实现此目的。我不知道类似的Windows工具,但可以想象它存在。
这类似于将调试器附加到浏览器/本机主机本身,并且只能由具有相同用户凭据或管理访问权限的本地计算机访问权限的人员完成。特别是,运行Chrome的用户可以这样做 - 就像他/她可以使用Dev Tools在JavaScript端检查和拦截数据一样。
所以,是的,原则上可以截取,但只有某人才能在其运行的系统上执行/调试代码的完全权限,并且操作系统注意不允许普通用户检查其他用户的进程方式。
答案 1 :(得分:1)
当然,您意识到Native Messaging只能在机器的范围内工作:使用本机消息传递,浏览器将通过stdin / stdout与您的主机应用程序进行通信。
那究竟是什么问题呢?如果黑客能够听你的stdin / stdout他们已经在你的机器上 - 你已经输了。