Задать вопрос
Bharata
@Bharata
Разработчик

Как сделано всплывающее окно с моим e-mail адресом Google, который я на этом сервере не оставлял?

Помогите пожалуйста разобраться... Я сегодня зашёл на
https://www.flaticon.com/ru/
И там мне выскочил в окне внизу всплывающий div:
661fee5ea06ed367941777.jpeg

На Google Mail в этом браузере я вошёл в вэб-почту.

Как они это сделали? Может они какие-то JS-библиотеки в свой код вставляют от Google и Google такое выбрасывает? Дополнительный необязательный вопрос: насколько безопасно это?

На этом сервере (flaticon.com) я ничего из моих данных не оставлял.
  • Вопрос задан
  • 183 просмотра
Подписаться 1 Средний 1 комментарий
Решения вопроса 1
alexey-m-ukolov
@alexey-m-ukolov Куратор тега Веб-разработка
Пригласить эксперта
Ответы на вопрос 1
@rPman
Всплывающее окошко использует iframe, этот тег 'надежно' защищает от доступа к данным со страницы, на которой этот iframe размещен от доступа.. т.е. ни какой информации вытащить из этого фрейма нельзя, но вот сам фрейм может вызывать методы на основной странице, это значит если их там подготовить, код из фрейма может выдавать то что необходимо основной странице. Т.е. страница во фрейме имеет доступ к кукам гугла, а значит авторизации, но вот основная странице нет... с оговорками:

Есть следующий вид атаки, например, ты заходишь на сайт злоумышленника, поиграть в игру, которая заключается в том что ты должен кликать в определенные области на экране (например быстро прокликать по появляющимся 'случайно' цветным кружкам), сайт злоумышленника в это время подсовывает в iframe атакуемый сайт, разместив его в полупрозрачном iframe (с прозрачностью 0.00000...) ровно в том месте, куда пользователь должен кликнуть мышкой. Пользователь думает что кликает на квадратик, но на самом деле кликает на страницу атакуемого сайта. Основной сайт не знает, что происходит на странице атакуемого, кликнул ли пользователь реально или нет, но может делать об этом предположение, заранее проверив, в каких местах атакуемого сайта находятся нужные атакующему элементы.

Т.е. атакующий может открыть окно гугла таким образом, чтобы пользователь прокликал на нем все необходимые разрешения, и не заметил этого.

Чтобы этого избежать, атакуемый сайт должен проверять, не происходит ли с его положением на странице чего то странного. Хз, делает ли это гугл, надеюсь да.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы