¿Los marcadores están seguros con los datos de Facebook?

Un bookmarklet es básicamente un fragmento de Javascript que se ejecuta en el sitio web. Como tal, tiene acceso a todos sus datos en el sitio. La mayoría de los bookmarklets no hacen nada con tus datos, pero ciertamente es posible y siempre debes tener cuidado.

Esto es muy peligroso. Otro término para este ataque es XSS autoinfligido. Este artículo describe un tipo de malware que convence a sus usuarios ejecutando su carga de javascript y luego usa el chat de Facebook para convencer a sus amigos de que ejecuten el mismo código. Así se propaga de manera muy parecida a un gusano.

También debe tener cuidado con los recursos a los que accede un bookmarklet. Por ejemplo, una cosa que es útil y peligrosa es crear una nueva etiqueta de script y agregarla al cuerpo de la página. Eso permite que el script se ejecute en esa página, y AFAIK, sus restricciones de acceso son las mismas que las de cualquier otro script cargado "de la forma habitual". He visto librerías como esta para Firebug Lite y Delicious, pero puede haber muchas más.

La utilidad es obvia: puedes hacer muchas más tareas, y mucho más complejas, usando los datos de esa página. Pero el riesgo no siempre es obvio, ya que incluso si revisó el script y no encontró ningún problema con él, si no controla el sitio del que proviene el script, nunca podrá estar seguro de que no será reemplazado por uno menos seguro o incluso malicius.

Por otra parte, asumo que el script (que proviene de un origen diferente) no podrá realizar solicitudes HTTP en su nombre, por lo que su daño se limitaría a los datos ya presentes en su navegador. Pero no estoy seguro de esto, quizás alguien más conocedor de los permisos de acceso al navegador pueda responder a eso.