Как вы используете http://toread.cc без букмарклета?

635

Можно ли использовать http://toread.cc без использования букмарклета? Это веб-сайт, который будет отправлять вам по электронной почте веб-страницы по вашему выбору. Единственный способ использовать это, хотя с бумарклетом. Может кто-нибудь заглянуть в код JavaScript букмарклета и, возможно, найти обходной путь, чтобы мне не пришлось использовать букмарклет? Я слышал, что букмарклеты небезопасны.

2
Оставляя свой адрес электронной почты, вы рискуете больше, чем пользоваться букмарклетом. (Но действительно, особенно когда букмарклет загружает код JavaScript при каждом нажатии, например, «The Printliminator» на http://css-tricks.com/examples/ThePrintliminator/, тогда однажды он * может * быть преобразован во что-то, что читает ваши куки или что угодно.) Arjan 15 лет назад 0

1 ответ на вопрос

1
Arjan

Букмарклет немного скрыт, так как он генерируется динамически после того, как кто-то подтверждает свой адрес электронной почты (нажав ссылку в сообщении электронной почты, которое он получает). Это выглядит так:

JavaScript: (функция () { var s = document.createElement ("scr" + "ipt"); s.charset = "UTF-8"; s.language = "javascr" + "ipt"; s.type = "text / javascr" + "ipt"; var d = новая дата; s.src = "http://toread.cc/bjs.php?s=SOME_PERSONAL_ID&d="  + d.getMilliseconds (); document.body.appendChild (ы) }) ();

Выше приведен довольно стандартный способ загрузки некоторого внешнего JavaScript при каждом нажатии.

Этот внешний сценарий использует некоторый личный идентификатор, чтобы узнать, на какой адрес электронной почты отправлять результат. Сегодня этот JavaScript выглядит не очень вредно: он отправляет исходный код HTML просматриваемой страницы на серверы треда, который затем отправляет электронное письмо. Таким образом, исходный код HTML, как известно, будет зачитан, подразумевая, что следует быть осторожным, используя это для очень личных сайтов.

Но: внешний JavaScript может измениться. Хуже того: если значение этого личного идентификатора легко угадать, то спаммеры могут отправить свою страницу случайным пользователям этого сервиса. Но сегодня этот персональный идентификатор представляет собой 12-значный шестнадцатеричный код, поэтому я сомневаюсь, что это просто увеличивающийся номер, который любой может произвольно попробовать.

Никто не может знать, нужно ли перезагрузить внешние скрипты Java после того, как что-то изменилось на серверах треда. Итак, чтобы ответить на ваш вопрос: нельзя использовать этот сервис без получения последней версии этого внешнего JavaScript . Следовательно, избавление от букмарклета также не имеет большого смысла. Сегодня это не выглядит вредным, хотя.

Похожие вопросы