誰かがGoogleに代わって個人情報を取得するためのブラウザ拡張機能を作成した場合、それは大きなセキュリティの脆弱性でしょうか?
私はプロジェクトで働いている6年生で、次の質問に遭遇しました。
ほとんどのブラウザでは、たとえばjavascript:alert( 'Injecting javascript code')と入力することにより、JavaScriptコードをブラウザに挿入できます。 Google Chromeでは、Googleドライブでこれを行うと、タイトルが「drive.google.comは言う」ではなく、タイトルが「Googleドライブ」になります。 Googleに代わって個人情報を要求する悪意のある拡張機能を誰かが作成した場合、これは何らかの方法でセキュリティ上の脅威になりますか?
はい、セキュリティの脆弱性でしょう。
WebページのコンテキストでJavaScriptコードを実行すると、そのコードはページのコンテンツ(この場合はGoogleドライブ)に多かれ少なかれ完全にアクセスできます。このようなコードはコンテンツをリークし、パスワードなどの情報を要求する可能性があります。
これは一般に クロスサイトスクリプティング または短縮形でXSSと呼ばれます。
ユーザーにコードを入力させる特定のケースは Self XSS と呼ばれます。 Facebookなどのサイトは、を押してコンソールを起動すると警告します F12 クロームで:
