Können Seitenaktionen keylogged sein oder werden sie sicher und unabhängig voneinander übertragen?

Question

Ich bin gespannt, ob Chrome-Erweiterungs-Overlays sicher und unverfälscht geliefert werden und ob jemand auf interne Ereignisse "zuhören" kann.

Wenn ein Benutzer ein Passwort über eine Chrome-Erweiterung eingeben würde, könnte ich garantieren, dass kein anderes Browser-Skript das Passwort aufgezeichnet hat? Ich hasse das Passwort mit 2FA, so dass die Netzwerkanforderung sicher ist, aber ich bin neugierig, ob jemand den innerenHtml einer <input> innerhalb einer Seitenaktion bekommen kann.

Ich frage, weil ich weiß, dass in der Regel iFrames unsicher ist, wenn sie in einem unsicheren Umfeld gehostet sind, wo sie können „ersetzt“ werden mit Doppelgänger, einen Mann in der Mitte, Phishing-Paletten

Dank

Answer 1

Nur wenn Sie ein Element in eine Webseite eingefügt haben, wird es ein Teil der Webseite sein (zB Code in einem injizierten <script>), der für jedes andere Seitenskript geöffnet ist.

Interne Seiten und Skripte einer Erweiterung wie Seitenaktion oder Symbolleisten-Popup oder Hintergrundseite und sogar Inhaltsskriptumgebung (Variablen/Funktionen) sind vom Web aus nicht zugänglich. Mit ein paar Ausnahmen können Sie innerhalb Ihrer Erweiterung nicht einmal direkt auf einen anderen zugreifen, da es sich um verschiedene Tabs/Fenster handelt: Messaging sollte verwendet werden.

Die einzige Möglichkeit, auf der eine Webseite wissen kann, was in Ihrer Erweiterung passiert, ist, sie explizit mit den Informationen Ihrer Erweiterung zu versehen. Sie müssten die Informationen beispielsweise explizit per DOM versenden. Oder über einen expliziten Mechanismus externally_connectable.

Answer 2

Vielleicht können andere Skripts das Passwort nicht aufzeichnen, aber Sie müssten auch die Eingabe von nativen Komponenten wie KeyLogger schützen, sie können immer bekommen, was Sie vor dem bubbling bis zum Browser-Prozess eingegeben haben. Ich denke also, dass eine native Komponente auch benötigt wird, sie könnte mit bösartigen Keyloggern kämpfen und sicherstellen, dass sie keine gültigen Benutzereingaben erhalten.