"la geolocalización puede ser insegura" eslint scan-js rule

3

He jugado con Eslint y eslint -scanjs complemento de seguridad y se encontró con el cheque 'property_geolocation'. El código fuente del cheque es:

"use strict";

module.exports = function (context) {

  return {
    "MemberExpression": function (node) {
      if (node.property.name == 'geolocation') {
        context.report(node, "geolocation can be unsafe");

      }
    }
  }
}  

por lo que no da ninguna pista sobre por qué es peligroso usar la propiedad. ¿Alguien puede explicar qué riesgos tiene el uso de la propiedad de "geolocalización" y cómo se puede abusar?

    
pregunta CaptainRR 12.12.2016 - 10:22
fuente

1 respuesta

1

Según la documentación de Mozilla y caniuse.com , algunos navegadores permitirán la geolocalización a través de HTTP, en cuyo caso se aplican los riesgos habituales de un MITM.

Esta es una conjetura de mi parte, pero si un atacante puede descubrir su ubicación física, podría explotarla de cualquiera de las siguientes maneras:

  • Encuentre las direcciones de su casa / trabajo y utilícelas para cualquiera de los siguientes:
    • saber cuándo es más seguro entrar o cuándo es el mejor momento para golpearte.
    • que te enmarca por poseer material ilícito ( as (casi) pasó a Brian Krebs).
    • cubriendo sus huellas.
  • Úselo para crear intentos de phishing más específicos (sabemos que Pilib Uí Rólaun va regularmente al Banco A en la calle principal de Ballycac, por lo que es más probable que caiga en una solicitud para iniciar sesión que en el Banco B).
  • Véndalo a un tercero que pueda encontrarlo útil (por cualquiera de las razones anteriores).
respondido por el Philip Rowlands 12.12.2016 - 15:42
fuente

Lea otras preguntas en las etiquetas