Nejde iba o heslá, ale o informácie osobného charakteru.
https://365tipu.cz/2018/01/01/tip981-jak-se-branit-zneuziti-spravcu-hesel-v-prohlizecich-a-automatickemu-vyplnovani-formularu/Funguje to bohužel tak, že jako uživatel (návštěvník stránky) se o tom nic nedozvíte – kdesi na pozadí se zobrazí neviditelný formulář a váš prohlížeč (správce hesel) ochotně vyplní informace. Ty se poté odešlou kamsi do databáze a jsou zpracovány.
https://senglehardt.com/demo/no_boundaries/loginmanager/index.htmlNa tento stránke si vyplňte email a heslo (nejaké fake samozrejme) a po odoslaní ho nechajte uložiť do password managera (Chrome, FF, IE, Edge). Následne treba prejsť na druhú stránku cez LINK a po zobrazení stránky (prípadne refresh po chvíľke) by malo zobraziť ukradnuté údaje. Odskúšal som to teraz na FF, Chrome, IE aj Edge, všetky do jedného sú schopné toto heslo uložiť a následne zobraziť pomocou skrytého formulára (pozeral som page source).
A teraz si predstavte, že toto urobí nejaký reklamný banner, ktorý má právo vykonávať JS. Tento banner si oficiálne kúpy nejaký "bad boy" a zobrazuje sa na veľa stránkach. Kľudne aj cez reklamný systém Facebooku alebo Googlu. Nebolo by to prvý krát, čo sa takto šíria zraniteľnosti.