Может ли реклама Adobe Flash захватить имя учетной записи пользователя и пароль для сайта, на котором размещена реклама?

Question

Я полагаю, что новейший стиль рекламы на основе Flash может представлять угрозу безопасности.

Вы когда-нибудь видели танец с анимированной Flash-рекламой на странице вашего сайта, которую вы посещали?Обычно это что-то довольно умное и слегка интересное, мяч подпрыгивает, машина едет, или какое-то видео, где человек делает что-то, чтобы привлечь ваше внимание.как правило, прикрывая то, что вы заинтересованы в чтении.Это довольно четкие рекламные объявления.

Тем не менее, я только что пришел с сайта, на котором отлично наложена реклама Flash, и замаскировал контент на хост-сайте.Сама реклама, конечно же, исходила от стороннего сайта, поэтому дизайнеры действительно очень умно достигли идеальной точности пикселя текущего контента, наложенных изображений и статического контента, а затем создали необычную анимацию прорыва.Что было не приятным, так это то, что я не знал, что анимация и реклама запускаются.

В течение этого времени я нажимал в полях для входа на сайт и автономно вводил свое имя пользователя и пароль (при этом также просматривал и смотрел телевизор).Когда я посмотрел вниз, в полях не было видно никакого текста.Я снова нажал на них и попытался набрать.Ничего не обнаружилось.Затем реклама сыграла свою анимацию.

Очевидно, что реклама перекрыла все на странице, и я щелкнул фокус в самом приложении Flash.Из своей собственной разработки приложений для Flash я знаю, что приложение вполне могло записывать нажатия клавиш, пока оно было сфокусировано.Итак ...

У кого-нибудь есть опыт создания такого рода "умных" рекламных объявлений в формате Flash?Что защищает людей от попадания в жертву по-настоящему вредоносной Flash-рекламы, специально разработанной для наложения реального контента и полей и захвата записей пользователей?

Answer 1

Просто, чтобы вы знали, Flash, работающий на странице, может общаться с JavaScript через ExternalInterface

Это позволяет программисту запускать любой код JavaScript, который им нужен (особенно потому, что flash может вызывать evalфункция в JavaScript).

Любая флэш-память , работающая на странице, имеет возможность установить обработчик событий JavaScript в полях имени пользователя / пароля формы и зафиксировать введенные значения.Флэш-программа может затем делать с данными все, что захочет.

Если на сайте, в который вы входите, размещена флеш-реклама на странице входа, это уже не безопасный вход.Это также верно для любых других данных формы / страницы.Использует ли ваш интернет-банк флэш-рекламу?

Изменить, чтобы уточнить:

Может ли реклама Adobe Flash захватить имя и пароль учетной записи пользователя для сайта, на котором размещена реклама?

Да

Answer 2

О, это просто, не так ли?Веб-сайт, на котором размещалось объявление, не заслуживает доверия.

Веб-сайты имеют политики с большими кнопками Согласен (которые люди так часто пропускают) при регистрации.Это делается для того, чтобы завоевать доверие пользователя к тому, что его / ее личная информация не будет передана, и вы можете подать на них в суд, если они нарушат свою политику ..... Ну, в любом случае, это обычное условие.сайт хочет, чтобы они могли использовать ваши материалы так, как им хочется.Так что, если они намерены обмануть вас, разместив рекламу, подобную этой, тогда это просто эквивалентно обмену вашей информацией без вашего ведома.