JavaScript-код Firefox Scratchpad имеет больше привилегий, чем стандартный код JavaScript веб-сайта?

Question

JavaScript-код Firefox Scratchpad имеет больше привилегий, чем стандартный код JavaScript веб-сайта?

Я просто скопировал и вставил через Scratchpad код из исходного кода веб-сайта.

Я хочу знать, имеет ли этот код больше привилегий, когда он запускается через Scratchpad Firefox, или имеет те же привилегии, что и когда он запускается непосредственно через веб-страницу.

Перед вставкой на Scratchpad Firefox предупреждает это сообщение:

Предупреждение о мошенничестве: будьте осторожны при вставке вещей, которые вы не понимаете.
Это может позволить злоумышленникам украсть вашу личность или взять под контроль ваш компьютер.

Я знаю, что есть javascript-эксплойты, которые могут проходить через веб-сайт, но..

Сообщение от Firefox выглядит так:

"Javascript на Scratchpad имеет больше привилегий, чем Javascript веб-страницы, и злоумышленники могут красть без эксплойтов, просто используя стандартный код"

Это правда?

С точки зрения безопасности один и тот же код может отличаться от веб-сайта и отличаться от Scratchpad ?

Или это все равно, что включить его в html со всеми мерами безопасности, которые содержат javascript внутри веб-сайта?

Почему Firefox предупреждает нас на Scratchpad о том, что можно сделать в любом случае, просто посетив вредоносную веб-страницу (потенциальная атака javascript)?

2

javascript security firefox privileges scratchpad

Источник

user4524952 28 янв '16 в 10:32

1 ответ

Решение

Другие вопросы по тегам javascript security firefox privileges scratchpad

user1508094 28 янв '16 в 22:38 2016-01-28 22:38 · Accepted Answer · 2016-01-28 22:38

По умолчанию код, выполняемый в блокноте, может делать все, что может делать JavaScript на веб-сайте, который вы просматриваете, не больше и не меньше. Это означает, что он может получить доступ к вашим данным с этого сайта и, возможно, отправить их куда-то еще, не сообщая вам, или может предпринять действия, притворяясь вами на этом сайте. Сообщение, которое вы видите, является предупреждением для неосторожных пользователей, которые не являются программистами, чтобы они не вставляли вредоносный код, который может выполнять некоторые из этих вещей, в блокнот только потому, что им кто-то сказал, потому что они не смогут сказать что код является вредоносным. Если вы зайдете в Facebook и посмотрите на консоль браузера, вы увидите похожее предупреждение, объясняющее то же самое, потому что это довольно распространенный тип атаки социальной инженерии.

Теперь я сказал "по умолчанию" ранее, позвольте мне объяснить, что я имел в виду. Также возможно переключить блокнот из режима "контент" в режим "браузер". Для этого необходимо включить параметр в настройках инструментов разработчика (он называется "Включить браузер Chrome и дополнительные наборы инструментов для отладки"), а затем переключить блокнот в режим браузера с помощью меню "Среда". Если вы делаете эти вещи, то блокнот может делать все, что может делать сам браузер, а не конкретный веб-сайт. Таким образом, блокнот, работающий в этом режиме, действительно имеет больше разрешений, чем веб-страница; он может делать все, что может делать нативное приложение. Но режим содержимого является режимом по умолчанию, и он имеет те же права доступа, что и веб-страницы.