Attraverso l'accesso al DOM, un utente malintenzionato può leggere i campi del modulo, compresi username e password, per questo ad Andreas Grech è venuta la voglia di provare se questa sua idea potesse essere dimostrata ed ha appunto creato il plug-in.
L'estensione, ogni volta che l'utente invia un modulo, cerca di catturare username e password e li invia ad Andreas Grech via 'email tramite chiamata Ajax ad uno script con i dati di login e l'url e poi procede ad inviare il modulo in modo normale per evitare il rilevamento.
Andreas Grech ha fatto varie prove con siti tipo Gmail, Facebook e Twitter e la procedura ha avuto successo. Sul suo sito mette anche il plug-in per chi vuole provarlo, ma sarebbe meglio toglierlo e che Google Chrome trovi il modo d'impedire queste manipolazioni del DOM.
Nessun commento:
Posta un commento