Fabrizio Marchegiani (FAMA)

Informatica? Parliamone!

Facebook scoraggia l’uso di script JavaScript via console browser

Facebook scoraggia l’uso di script JavaScript via console browser

11 Maggio, 2015

L’utilizzo della “Developer Tool” dei browser ( tasto F12 ) è spesso utilizzato dai programmatori, ma anche dai più curiosi, per vedere il codice delle pagine web, ma anche per utilizzare la Console per utilizzare in tempo reale del codice JavaScript nella pagina per vari motivi tra cui l’injection ( il più delle volte per scopo malevolo ).

Questa pratica è utilizza molto anche nei siti dei social, specialmente sul sito di Facebook.

Questi script vengono utilizzati per diversi motivi, tra i più utilizzati c’è quello di fare punteggi o prendere vite nei diversi giochi ( app Facebook ) ma anche mandare un messaggio di invito ad un evento. Ma queste sono le motivazioni “buone”, ma ben sappiamo che non tutte le azioni portano a buon fine. Altre motivazioni per utilizzare gli script JavaScript via Console del Developer Tool dei browser è quello di hackerare un account ( Facebook ), ma anche quello di cercare di prendere informazioni privati degli account che hanno deciso di rendere tali informazioni private.

Facebook ritiene questo utilizzo di script, soprattutto se utilizzata in caso malevolo, alquanto negativamente. Quindi ha inserito nel suo codice una funzione che scoraggia l’uso di questa pratica. Il codice in questione è del genere :
with ((console && console._commandLineAPI) || {}) {

<code goes here>

}

Che effetto ha nei browser utilizzato il comando F12 ( che richiama il Developer Tool ), prendiamo in esempio i 3 browser più usati : Chrome, Firefox e Internet Explorer 11:

Chrome

Chrome

 

Browser Firefox

Firefox

 

Internet Explorer 11

Internet Explorer 11

Da notare che il browser Internet Explorer ignora del tutto l’API della Console del Developer Tool.

Cosa ne pensa Facebook

Facebook offre il suo punto di vista sul comportamento di tali procedure nella pagina delle faq Cos’è un attacco XSS che cita :

Un XSS o una truffa Cross Site Scripting (attacco tramite script da altri siti) sono progettati per indurti a fornire l’accesso al tuo account Facebook. Se un truffatore ottiene l’accesso al tuo account, può pubblicare contenuti e commentare a tuo nome

Facebook XXS

Le mie conclusioni

L’utilizzo di script Javascript è il metodo più veloce ed immediato per sfruttare “al volo” le falle, ma anche le API per accedere immediatamente alle funzioni interne. Certo, bisogna avere un minimo di praticità e confidenza sia con il browser che il linguaggio JavaScript ( anche se, effettivamente, cercare un codice su internet per poi copiarlo ed incollarlo è ormai alla portata di tutti ).

Non credo sarà mai possibile difendersi del tutto dagli usi negativi che se ne possono fare, la più grande potenzialità del JavaScript ( gradita dagli sviluppatori ) è poter utilizzare il codice immediatamente e su ogni browser, mica cosa da poco!

Sono a favore e appoggio l’uso di ogni strumento messo a disposizione in modo positivo : anche un coltello, utilizzato per uccidere è uno strumento negativo, ma per chi lo usa per tagliare il pana da dividere con i commensali è visto come uno strumento utile a se stessi e agli altri.

Ti è piaciuto l'articolo? Hai idee, domande o dei dubbi? Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.