昨晚在收听turntable.fm的同时,我寻找了一个自动超棒的Chrome扩展程序。我遇到了bookmarklet同样的事情。让我停下来的事情是,书签可以自动采取行动而不需要我做任何事情。它是如何做到的?这是一个需要修复的安全漏洞吗?什么阻止某人进行社交工程设计密码嗅探器书签?
答案 0 :(得分:3)
How To Use页面显示用户明确运行此书签时一次(当您输入按钮本身的ID时),然后定期检查何时可以将点击事件提升为“auto-awesome”。 bookmarklet是一个包含JavaScript而不是URL的超链接,因此如果用户没有点击它就无法执行。
每当您运行书签(或启动任何JavaScript)时,您实际上是在授予该代码权限,以便使用当前页面的内容。这可能对用户来说并不清楚,但是浏览器有特殊处理bookmarklet的历史记录,所以我不希望看到这种行为发生变化。
理论上可以将书签写入嗅探密码,但用户首先必须在他们输入密码的页面上以某种方式启动书签。与使用安全漏洞的浏览器相比,这更像是运行不可靠代码的用户的问题。