¿Los marcadores están seguros con los datos de Facebook?

11

Por lo general, juego Mafia Wars y utilizo marcadores como Spockholm, Arum, etc. ¿Pueden estos marcadores obtener mis datos de Facebook cuando los ejecuto, por lo general me piden que desenmarque la página de Facebook?

Me preguntaba si era posible que estuvieran robando la información de mis amigos de Facebook y vendiéndola a los anunciantes.

    
pregunta Nap 08.11.2010 - 07:12
fuente

3 respuestas

8

Un bookmarklet es básicamente un fragmento de Javascript que se ejecuta en el sitio web. Como tal, tiene acceso a todos sus datos en el sitio. La mayoría de los bookmarklets no hacen nada con tus datos, pero ciertamente es posible y siempre debes tener cuidado.

    
respondido por el Arda Xi 08.11.2010 - 07:15
fuente
3

Esto es muy peligroso. Otro término para este ataque es XSS autoinfligido. Este artículo describe un tipo de malware que convence a sus usuarios ejecutando su carga de javascript y luego usa el chat de Facebook para convencer a sus amigos de que ejecuten el mismo código. Así se propaga de manera muy parecida a un gusano.

    
respondido por el rook 22.01.2012 - 21:28
fuente
2

También debe tener cuidado con los recursos a los que accede un bookmarklet. Por ejemplo, una cosa que es útil y peligrosa es crear una nueva etiqueta de script y agregarla al cuerpo de la página. Eso permite que el script se ejecute en esa página, y AFAIK, sus restricciones de acceso son las mismas que las de cualquier otro script cargado "de la forma habitual". He visto librerías como esta para Firebug Lite y Delicious, pero puede haber muchas más.

La utilidad es obvia: puedes hacer muchas más tareas, y mucho más complejas, usando los datos de esa página. Pero el riesgo no siempre es obvio, ya que incluso si revisó el script y no encontró ningún problema con él, si no controla el sitio del que proviene el script, nunca podrá estar seguro de que no será reemplazado por uno menos seguro o incluso malicius.

Por otra parte, asumo que el script (que proviene de un origen diferente) no podrá realizar solicitudes HTTP en su nombre, por lo que su daño se limitaría a los datos ya presentes en su navegador. Pero no estoy seguro de esto, quizás alguien más conocedor de los permisos de acceso al navegador pueda responder a eso.

    
respondido por el mgibsonbr 22.01.2012 - 20:51
fuente

Lea otras preguntas en las etiquetas