En primer lugar, un sitio web malicioso puede llenar su disco duro usando localStorage
(consulte FillDisk , asegúrese de hacer clic en "detener Haga clic en el botón "esta locura" antes de abandonar el sitio. O no haga clic en ese enlace y solo vea la explicación aquí ). No creo que haya habido casos de malware guardados en una computadora a través de localStorage
, ya que los datos se guardan en una pequeña base de datos.
Además de esto, en Chromium / Firefox, un sitio web puede hacer que descargues e instales una extensión / userscript. Primero se le solicita confirmación, pero una vez que se instala la extensión, potencialmente tiene acceso a todos sus datos en todos los sitios (incluidas las contraseñas).
En Chrome, es más difícil forzarte a instalar una extensión, ya que solo puedes instalarlo a través de Chrome Web Store, aunque alguien puede evitarlo mediante un clickjacking inteligente.
Otra cosa que JS puede hacer es lanzar una aplicación (como iTunes o el Centro de software de Ubuntu) a través de un esquema de URL personalizado, y si tiene una aplicación de descarga (o algo que se puede usar como una), esto puede ser explotable. Sin embargo, esto pide confirmación.
Aparte de eso, JS no puede obtener EXEs / etc en su computadora.