Tengo razones para pensar que mi mensaje privado es observado por el soporte del sitio en el que estoy. Esto es legal debido a los TOS que tuve que validar cuando me suscribí a este sitio web.
Sin embargo, me gustaría recopilar información sobre ellos para evitar futuros problemas. Pensé en honeypot, así es como me lo imagino:
Envié un bbcode
fallido a un amigo para que se vea como un enlace de imagen: [img]http://evil.com/mypicture.png[/im]g
. Supongo que dicho enlace puede ser algún tipo de página html, utilizando mod_rewrite
( Apache
), o un entorno de tiempo de ejecución de bajo nivel como Node.js
.
Este enlace condujo a un ataque de javascript, conocido como The Spy in the Sandbox
. En este mensaje privado, mi amigo lo sabe y lo acepta. En este caso, enviarle este enlace es legal.
Esto se vuelve complicado cuando el soporte descubrirá este mensaje privado. Pensarán en un bbcode
fallido básico y copiarán y pegarán el enlace en su navegador para ver la imagen. El ataque se ejecutará en su navegador y me dará información sobre nosotros.
-
¿Es honeypot el término correcto para designar este ataque?
-
¿Es legal almacenar y leer la información que recopilaré?