Ist es sicher, ein nicht vertrauenswürdiges Bookmarklet auf einer Webseite mit vertraulichen Daten zu verwenden?

573
vitaut

Ist es sicher, ein nicht vertrauenswürdiges Bookmarklet auf einer Webseite zu verwenden, die sensible Daten enthält, beispielsweise eine Internetbanking-Seite? Kann ein Bookmarklet insbesondere die Daten an eine beliebige Stelle senden oder einige Aktionen (wie die folgenden Links) auf der Seite ausführen?

1
Dies ist nicht wirklich ein Programmierproblem, bei Abstimmungen zur Migration zu SuperUser Darko Z vor 12 Jahren 1

2 Antworten auf die Frage

6
Quentin

Ist es sicher, ein nicht vertrauenswürdiges Bookmarklet auf einer Webseite zu verwenden, die sensible Daten enthält, beispielsweise eine Internetbanking-Seite?

Nein.

Kann ein Bookmarklet insbesondere die Daten an eine beliebige Stelle senden oder einige Aktionen (wie die folgenden Links) auf der Seite ausführen?

Ja.

Ein Bookmarklet führt JavaScript aus, als ob es vom Seitenautor auf der Seite enthalten wäre (mit allen erforderlichen Berechtigungen).

"als ob es vom Seitenautor auf der Seite enthalten wäre." Ich denke, es kann noch mehr, zumindest bei einigen Browsern ist es näher an dem, was eine Browsererweiterung leisten kann. Thilo vor 12 Jahren 0
@Thilo Bookmarklets erhalten in keiner der neueren Versionen von IE, Firefox oder Chrome besondere Berechtigungen. Ich bin in Bezug auf Safari und Opera nicht so zuversichtlich, bezweifle es aber ernsthaft. Sie sind jedoch ohne besondere Erlaubnis gefährlich genug, wenn Sie nicht wissen, was sie tun. Sollte generell vermeiden, sie auf sehr kritischen Websites zu verwenden. vor 12 Jahren 2
2
Thilo

Nein, es ist nicht sicher.

Ein Bookmarklet kann alles auf der Seite sehen, seine Cookies und seinen lokalen Speicher lesen und mit dem Server interagieren, von dem die Seite stammt (und ich denke sogar, dass auch andere Server dabei sind, da das domänenübergreifende Sandboxing möglicherweise nicht für Bookmarklets gilt).

Für ein Bookmarklet gilt das gleiche Sandboxing wie für das normale Javascript, das auf der Seite ausgeführt wird. vor 12 Jahren 1

Verwandte Probleme