¿Es posible que una página web registre sus pulsaciones de teclado?

Es posible implementar un keylogger en javascript, pero su alcance está limitado a la página web desde la cual se carga porque javascript limita el impacto de sí mismo en la página web. A veces, existen vulnerabilidades que permiten a un atacante salir de la caja de arena js y puede afectar a un alcance más amplio.

De todas formas, un atacante puede incluir js a través de XSS o un ataque MITM para capturar lo que el vicitim está escribiendo. Por lo tanto, un atacante podría apuntar a sus credenciales o al chat de webapps (si existe) por ejemplo.

Es por esto que te dicen que no incluyas tu js sin cifrar. Permite a los atacantes MITM inyectar js en una conexión encriptada.

Si está interesado en cómo funciona esto en detalle, puede echar un vistazo a aquí .

Si puede omitir la Política del mismo origen del navegador, su javascript podrá ejecutar el registrador de claves en cualquier página web abierta. Si rompe el espacio aislado, podrá hacerlo en el sistema operativo. .

Por otra parte, si logra hacer eso, debe contactar a google, ya que generalmente ofrecen precios de alrededor de 50k a alguien que rompe la seguridad del navegador ... :)

Otra opción es ejecutar o instalar el keylogger como un complemento del navegador o una aplicación X activa, pero para eso tendrá que aceptar y confiar en la aplicación o instalarla, por lo que debe hacer clic en un montón de sí e ignorar muchos. de advertencias ...

No sé si los navegadores modernos ya hacen esa pregunta o simplemente ignoran la solicitud de ejecución de la aplicación de forma predeterminada.

Leí algo similar a este artículo el otro día. Básicamente, los sitios pueden capturar pulsaciones de teclas en js, como han dicho otros, pero en este caso están usando esa información para crear un perfil como usuario y no necesariamente para registrar las pulsaciones de tecla para recopilar lo que escribe.