HTML / CSS / JS: Может ли невидимая форма перехватывать (перехватывать) пользовательский ввод?

Question

Я слышал, как кто-то упоминал, что теоретически можно поместить невидимый iframe поверх содержимого и получить информацию, которую кто-то хочет поместить в форму.Как это было бы возможно и не получить подозрения?Это пугает меня ...

Answer 1

Да, это возможно! Это называется clickjacking и действительно очень реально. Проверьте это для получения дополнительной информации: http://en.wikipedia.org/wiki/Clickjacking

У Михала Залевского из Google есть теоретический пример (Источник: Страница 1 , Страница 2 ):

Вредоносная страница в домене А может создать кадр, указывающий на приложение в домене B, к которому относится пользователь в настоящее время аутентифицирован с печенье ", сказал Залевский в сообщении в список рассылки в четверг. « страница верхнего уровня может затем покрывать части РАМКИ с другими визуальными элементы, чтобы легко скрыть все но одна кнопка пользовательского интерфейса в домене B, такие как «удалить все элементы», нажмите добавить Боба в друзья и т. д. предоставить [свой] вводящий в заблуждение пользовательский интерфейс, который подразумевает, что кнопка служит различного назначения и является частью сайт A, приглашая пользователя нажать на него.

Answer 2

Невозможно сделать это без привлечения подозрения, кто-то всегда заметит. Если вы не обычный пользователь, я бы порекомендовал вам попробовать скачать noscript (плагин Firefox). Это предотвращает запуск JavaScript любого сайта, не входящего в ваш личный белый список. Это должно облегчить многие ваши заботы! Я надеюсь! Я знаю, это заставляет меня чувствовать себя лучше.

Answer 3

В сфере возможностей есть много глупых идей. : -)

Теоретически, вы можете захватить форму и разместить область, которая захватывает ввод. Это не простое упражнение, так как вам нужно подражать форме или сделать так, чтобы пользователь вышел за пределы окна безопасности браузера. Фишинг с похожей формой гораздо проще, чем делать это.

Я вижу, что кто-то упомянул клик-джеккинг, который захватывает событие клика. В целом, это отличается от захвата формы, хотя его можно использовать для закрытия кнопки после заполнения формы. Еще раз, это похоже на фишинговую атаку, когда вы попадаете на их сайт. Без этого неправильного направления они не могут внедрить JavaScript, необходимый для этой работы.

Что вас беспокоит? Что кто-то может попасть на ваш сайт и быть угнанным без другого сайта сверху? Навряд ли. Это люди могут быть одурачены. Ну, П.Т. Барнум учил нас, что каждый день рождается один человек.