Wie benutzt man http://toread.cc ohne ein Bookmarklet?

870

Kann man http://toread.cc verwenden, ohne ein Bookmarklet verwenden zu müssen? Dies ist eine Website, auf der Sie Webseiten Ihrer Wahl per E-Mail erhalten. Die einzige Möglichkeit, es zu benutzen, ist mit einem Boomarklet. Könnte jemand im Javascript-Code des Bookmarklets nachsehen und möglicherweise eine Problemumgehung finden, damit ich kein Bookmarklet verwenden muss? Ich habe gehört, dass Bookmarklets unsicher sind.

2
Wenn Sie Ihre E-Mail-Adresse hinterlassen, besteht möglicherweise ein größeres Risiko als bei der Verwendung eines Bookmarklets. (Vor allem wenn ein Bookmarklet bei jedem Klick JavaScript-Code lädt, z. B. "The Printliminator" unter http://css-tricks.com/examples/ThePrintliminator/), könnte es eines Tages * in etwas umgewandelt werden, das Ihre Cookies liest oder Wasauchimmer.) Arjan vor 15 Jahren 0

1 Antwort auf die Frage

1
Arjan

Das Bookmarklet ist etwas versteckt, da es dynamisch generiert wird, nachdem die E-Mail-Adresse bestätigt wurde (durch Klicken auf einen Link in einer E-Mail-Nachricht). Es sieht aus wie das:

Javascript: (Funktion () { var s = document.createElement ("scr" + "ipt"); s.charset = "UTF-8"; s.language = "javascr" + "ipt"; s.type = "text / javascr" + "ipt"; var d = neues Datum; s.src = "http://toread.cc/bjs.php?s=SOME_PERSONAL_ID&d="  + d.getMilliseconds (); document.body.appendChild (s) }) ();

Das obige ist eine ziemlich standardisierte Methode, um jedes Mal, wenn es angeklickt wird, externes JavaScript zu laden .

Dieses externe Skript verwendet eine persönliche ID, um zu wissen, an welche E-Mail-Adresse das Ergebnis gesendet werden soll. Heute sieht dieses JavaScript nicht besonders schädlich aus: Es sendet den HTML-Quellcode der angezeigten Seite an die Server des toread, die dann die E-Mail senden. Es ist also bekannt, dass der HTML-Quellcode durchgelesen wird, was bedeutet, dass man bei sehr persönlichen Websites vorsichtig sein sollte.

Aber: das externe JavaScript könnte sich ändern. Schlimmer noch: Wenn der Wert dieser persönlichen ID leicht erraten werden kann, dann Spammer könnten senden ihre Seite, um zufällige Nutzer dieses Dienstes. Heute ist diese persönliche ID ein 12-stelliger Hexadezimalcode. Ich bezweifle, dass es sich nur um eine fortlaufende Nummer handelt, die jeder zufällig ausprobieren kann.

Man kann nicht wissen, ob / wann die externen JavaScripts muss nach dem Einschalten der toread-Servern geändert etwas neu geladen werden. Um Ihre Frage zu beantworten: Sie sollten diesen Dienst nicht verwenden, ohne die neueste Version dieses externen JavaScript zu erhalten . Daher macht es auch keinen Sinn, das Bookmarklet loszuwerden. Heute sieht es jedoch nicht schädlich aus.