Разное

Извините, что я тут про эту дурацкую сеть ВК пишу. Но просто я подумал, что если программы для ВК (ВКонтакте) могут воровать пароли, e-mail или ещё чего, то может ли это делать JS?

Вот, например, очередной скрипт. Не мой! Потому не судить за "рекламу". Вот ведь JS можно весь просмотреть и сказать может он украсть пароль или нет. Может здесь спецы сумеют посмотреть или уже знают. Можно доверять или нет?

Очень сомневаюсь что украсть пароль от вконтакта можно напрямую с сайта. Думаю, там пароли хранятся в закрытом виде - это раз. Думаю, квалификации разработчиков хватает на то, чтобы не хранить пароль в куках или каким-то подобным образом - это два.

Поэтому стырить пароль можно только "подсмотрев" или перехватив его. Подсмотреть при помощи JS можно. Но для этого надо либо устанавливать троян (в т.ч. плагин, панель для браузера или что-то такое ) на компьютер с которого логинятся, либо подсовывать фишинговую страницу - страницу, похожую на вконтактовскую, но не являющуюся таковой, где рисовать форму и собирать что туда вводилось.

Какой-то безусловный признак авторизации у них там есть, пароль может не удасться украсть, но получить права доступа - вполне реальная задача, если имеется соответствующая уязвимость.

Получить права без пароля это как?

если украсть уникальный ключ по которому происходит авторизация

Украсть содержимое cookie можно либо непосредственно с машины пользователя (нужен специализированный троян), или эксплуатируя XSS-инъекцию, таковая должна быть на сайте и жертва должна посетить ссылку-эксплоит. В общем, уволочь пароль не так просто (если он вообще имеется в cookie).

Если всё же использовать этот скрипт, что можно сделать, чтобы обезопасить себя максимально после этого? Выйти? Очистить куки? Что?

Лучше сменить пароль, выйти и войти снова.