datos de usuario accesibles a través de javascript en el navegador

Navega tus respuestas
3

Hay sitios web que muestran información del usuario, como la versión del navegador y el sistema operativo

Este sitio web va más allá y muestra información adicional, como la resolución del escritorio, y también cualquier interfaz de red secundaria. En mi caso, detectó mi interfaz de red eth1 192.168.0.6

Me he dado cuenta de que esta información solo está disponible cuando javascript está habilitado. Me pregunto, por lo tanto, qué más es accesible a través de javascript . En particular, si javascript puede acceder a los archivos en la casa de los usuarios.

    
pregunta Martin Vegter 08.04.2014 - 20:16
fuente

2 respuestas

2

Este es un objetivo móvil, ya que hay un juego del gato y el ratón a medida que los atacantes descubren nuevas técnicas y los navegadores implementan nuevas defensas. En general, JavaScript:

  • puede acceder a la información de configuración de su navegador y complementos. El sitio que has vinculado parece ser un buen resumen de las técnicas actuales.
  • no puede acceder a sus archivos locales, al menos, a menos que arrastre y suelte explícitamente un archivo (o use un campo de carga de archivos). Tampoco puede acceder a su libreta de direcciones.
  • solo puede acceder a las cookies (y al almacenamiento local HTML 5) desde su propio dominio, no desde otros.
  • a veces puede ver su historial web, utilizando La historia de CSS sniffing . Esta fuga se corrige en gran medida en los navegadores más nuevos, pero quedan algunos problemas sutiles.
  • puede cargar recursos (por ejemplo, imágenes) de otros sitios. No puede acceder al contenido (a menos que sea una solicitud de dominio cruzado permitida explícitamente).
  • no puede acceder a datos JSON desde otros sitios. Esto solía ser posible utilizando Secuestro JSON pero los navegadores modernos lo han solucionado.
  • puede indicar cuánto tarda en cargarse un recurso. Se puede abusar de esto para saber si un usuario ha iniciado sesión en un sitio en particular, e incluso si tiene algún mensaje que coincida con una cadena de búsqueda en particular.
  • puede explotar vulnerabilidades (por ejemplo, secuencias de comandos entre sitios, falsificaciones de solicitudes entre sitios) en otros sitios web y en contra del propio navegador web.
  • puede realizar cálculos para el propietario del sitio, utilizando la computadora del cliente, por ejemplo. Minería BitCoin.

Una pregunta interesante relacionada es: ¿qué pueden hacer los contenidos como Java, Flash y PDF? Mis conocimientos se agotan aquí, pero sí sé que un archivo PDF puede imprimir un documento sin la interacción del usuario. Bastante sorprendente: ¡un navegador 2014 completamente parcheado permite que un sitio web no confiable se imprima automáticamente!

Si desea conocer la historia completa, lea El Manual de seguridad del navegador .

    
respondido por el paj28 08.04.2014 - 20:41
fuente
0

Un punto más es el API de GeoLocation , que se puede utilizar para determina tus coordenadas.

Si está disponible y el usuario acepta, puede hacerlo 

navigator.geolocation.getCurrentPosition(function(position) {
  do_something(position.coords.latitude, position.coords.longitude);
});
    
respondido por el serv-inc 05.11.2015 - 14:49
fuente

Lea otras preguntas en las etiquetas

Intentando identificar lo que buscaba un escáner ¿El token aleatorio y la clave de confirmación de correo electrónico de 10 caracteres son suficientes?