Une extension de navigateur (Chrome, Firefox, etc.) peut-elle lire le journal de la console Web?
J'ai réalisé que ma banque traite les informations sensibles dans le journal de la console Web, donc ma préoccupation est de savoir si une extension de navigateur pourrait lire le journal?
Toute extension ayant accès au DOM peut lire tout ce qui est écrit sur la console en interceptant les appels. La console est un objet JavaScript; il est simple de proxyer les appels à console.log, comme cet exemple from zzzzBov on Stack Overflow:
(function () {
var log = console.log;
console.log = function () {
log.call(this, 'My Console!!!');
log.apply(this, Array.prototype.slice.call(arguments));
};
}());
Cependant Je dois noter que l'interception de console.log n'est pas nécessairement ce qui devrait vous inquiéter. Si un attaquant est capable d'exécuter son propre code dans votre navigateur, il peut faire beaucoup de mauvaises choses que ce soit ou non la banque utilise console.log. Pour en savoir plus, consultez cette question: Pire scénario que peut faire une extension Chrome avec "Vos données sur tous les sites Web"
Mais cela dit, s'ils ont laissé des instructions console.log dans leur site de production, c'est une odeur de code.