JavaScriptでキーロガーを実装することは可能ですが、JavaScriptはWebページへの影響を制限するため、スコープはロード元のWebページに制限されます。攻撃者がjsサンドボックスから抜け出し、より広い範囲に影響を与える可能性があるエクスプロイトが存在する場合があります。
とにかく、攻撃者がXSSまたはMITM攻撃を介してjsを含めることで、被害者が入力している内容をキャプチャできます。したがって、攻撃者は、たとえば、資格情報またはWebアプリチャット(存在する場合)を標的にする可能性があります。
これが、暗号化されていないjsを含めないように指示する理由です。 MITM攻撃者がjsを暗号化された接続に挿入できるようにします。
これが詳細にどのように機能するかに興味があるなら、あなたは一見することができます ここ 。
ブラウザーのSame Origin Policyをバイパスできる場合、サンドボックスを破壊すると、JavaScriptは開いているWebページでキーロガーを実行でき、OSで実行できます。
一方で、ブラウザのセキュリティを破る誰かに通常5万円前後の価格を提供しているので、それがうまくいく場合は、Googleに連絡する必要があります... :)
その他のオプションは、ブラウザーのアドオンまたはアクティブなXアプリケーションとしてキーロガーを実行またはインストールしますが、そのためには、アプリケーションを受け入れて信頼するか、インストールする必要があるため、本当に「はい」をクリックし、多くの警告を無視する必要があります。 ..
最近のブラウザーがその質問をするのか、デフォルトで単にアプリケーションの実行要求を単に無視するのかはわかりません。
先日 この記事 のようなものを読みました。基本的に、サイトは他のユーザーが言ったようにjsでキーストロークをキャプチャできますが、この場合、それらはその情報を使用してユーザーとしてあなたをプロファイリングします。