Est-il possible pour une page Web pour enregistrer vos frappes?
Est-il possible d'avoir une page Web dans Chrome Open, et il peut exécuter une application Web de Tremples sur la page Web et que la page Web enregistre votre clavier?
Il est possible d'implémenter un keylogger en JavaScript mais sa portée est limitée à la page Web qu'elle est chargée, car JavaScript limite l'impact de lui-même sur la page Web. Parfois, il existe des exploits qui permettent à un attaquant de sortir de la boite de sable JS et peuvent affecter une portée plus large.
Quoi qu'il en soit, JS peut être inclus par un attaquant via XSS ou une attaque MITM pour capturer ce que le Vicitim tape. Donc, un attaquant pourrait cibler vos informations d'identification ou la conversation WebApps (s'il en existe un) par exemple.
C'est pourquoi ils vous disent de ne pas inclure votre JS non crypté. Il permet aux attaquants de MITM d'injecter JS dans une connexion autrement cryptée.
Si vous êtes interesté dans la manière dont cela fonctionne en détail, vous pouvez avoir un look ici .
Si vous pouvez contourner la stratégie même stratégie d'origine du navigateur Votre JavaScript pourra exécuter l'enregistreur de clé dans n'importe quelle page Web ouverte si vous casserez le bac à sable, vous pourrez le faire dans le système d'exploitation.
D'autre part, si vous parvenez à faire cela, vous devez contacter Google car ils offrent généralement des prix d'environ 50k à une personne qui brise la sécurité du navigateur ... :)
Une autre option est exécutée ou installer le Keylogger en tant que navigateur Ajoutez une application ON ou Active X, mais pour cela, vous devez accepter et faire confiance à l'application ou l'installer, de sorte que vous devez vraiment cliquer sur beaucoup de oui et ignorer beaucoup d'avertissements. ..
Je ne sais pas si les navigateurs modernes rendent même cette question ou simplement ignorer la demande d'exécution de l'application par défaut.
J'ai lu quelque chose de similaire à - cet article l'autre jour. Fondamentalement, les sites peuvent capturer des coups de frappe dans JS comme d'autres personnes ont dit, mais dans ce cas, ils utilisent ces informations pour vous connaître en tant qu'utilisateur et pas nécessairement pour la journalisation des frappes de frappe pour collecter ce que vous tapez.