dollar
@dollar
Делай добро и бросай его в воду.

Почему браузеры разрешают скриптам доступ к полю пароля?

Для поля пароля сейчас возможно определить событие onkeydown, onkeypress или onkeyup, а также напрямую считывать значение (.value).

В результате (почти) любое браузерное расширение может узнать пароль от любого сайта.

Разве с точки зрения архитектуры браузера не проще было бы изолировать всё, что касается авторизации на сайтах? Как вариант - сделать отдельный тип разрешения для расширений, например, назвать "доступ к паролям" (для всяких там менеджеров паролей). А остальные расширения, без этого разрешения, не должны иметь доступ к паролям.
  • Вопрос задан
  • 237 просмотров
Решения вопроса 1
kshshe
@kshshe
Frontend developer
Потому что, например, вам может понадобиться отправлять эти данные с помощью js на сервер без перезагрузки страницы. Или хотя бы валидировать. Поле с типом password – такое же поле, как и text, оно защищает только от того, что кто-то рядом с пользователем увидит, что введено.
Для того, чтобы эти данные были в безопасности, браузер предпринимает разные меры – не разрешает выполнять js из адресной строки, предотвращает инъекции скриптов, предупреждает, когда вы устанавливаете дополнения, что они будут иметь доступ к вашим данным и т.д.
То есть в обычном варианте на страницу какого-либо сайта не попадет никакой скрипт кроме того, который туда поместят те, кто его делают. А в таком случае это безопасно.

Насчет разрешения "доступ к паролям" – никто не запрещает сделать заявку ко всем основным браузерам с тем, чтобы это реализовали. Если это будет на самом деле востребовано, вполне же может появиться.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
@vardoLP
Ват ю сэй эбаут май мама?!
а как вы узнаете чужой пароль? браузер покажет вам фактическое значение value. Он же не показывает вам то значение, которое вводится юзером на другом компе
Ответ написан
lamer350
@lamer350
กำลังสูงสุด
а смысл? черный рынок данных тоже должен зарабатывать...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы