Aspettando che il mio sito personale torni attivo comincio a scrivere qualcosa qui, la inserisco in Guide anche se non è proprio una guida.

Conoscete i bookmarklet?

Cosa sono?
Si tratta di codice Javascript inserito in semplici preferiti del browser, in questo caso invece di puntare ad un indirizzo http: il nostro preferito punterà ad un indirizzo javascript: .

Come funzionano?
Quando l'utente decide di aprire il preferito la pagina web aperta in quel momento caricherà il codice, per chi non lo conoscesse Javascript permette di modificare al volo elementi del DOM, per capirci il codice sorgente. Le modifiche saranno a livello client, quindi solo noi le vedremo.

Cosa fanno?
Esistono bookmarklet utili che possono cambiare lo stile di una pagina, estrarre dati, o eseguire azioni più complesse. Ci lasciano molta libertà, proprio per questo possono contenere anche codice malevolo.

A proposito di Javascript Injection (iniezione di Javascript nella pagina)
Fino a pochi mesi fa anche incollando del codice nella barra indirizzi del browser si poteva facilmente far girare del Javascript, con gli ultimi aggiornamenti ci sono controlli maggiori, con le impostazioni di default Chrome non permette di incollarli ma solo di scriverli, Firefox sembra bloccarli, su IE 8 invece funzionano.
In maniera simile all'interno delle pagine web qualsiasi link che iniziasse con javascript: farebbe interpretare il codice all'interno della pagina.
Facebook, non un sito qualunque, qualche tempo fa (non so ora) aveva un bug nella piattaforma mobile del sito, inviando post ad hoc non venivano filtrati indirizzi di tipo javascript.

Come possono ingannarci?
Le modalità sono diverse:

• con astuzia ci fanno creare un preferito malevolo
• il sito che stiamo visitando è vulnerabile e contiene link pericolosi
• ci viene chiesto di incollare del codice Javascript nella barra indirizzi del browser

Fino a che punto possono essere dannosi?
Possono:

• fare partire azioni autonome, Facebook è molto basato su AJAX e individuate le funzioni principali si possono aprire finestre di chat, scrivere, e creare Like fasulli.
• cambiare la destinazione di un form di login, inviando dati ad un sito esterno
• prendere i nostri cookie e inviarli ad un sito esterno
• fare apparire nella stessa pagina un finto login "popup"

In sintesi modificare a piacimento la pagina.

Esempi
Su Facebook girava un'applicazione che prometteva di mostrare il video della morte di Bin Laden, chiedeva appunto di copiare nella barra indirizzi un codice in quel caso per replicarsi all'interno di Facebook e farsi pubblicità.

Come proteggerci?

• permettendo script Javascript solo per siti autorizzati, sicuro ma molto scomodo.
  -In Chrome da Opzioni > Roba da smanettoni > Privacy > Gestisci contenuti... > Javascript.
  -In Firefox con l'estensione Noscript.
  -In IE da Strumenti > Opzioni > Sicurezza > Internet > Livello personalizzato > Esecuzione script > Esecuzione script attivo > selezionare Disattiva
  e per gestire le eccezioni
  Strumenti > Opzioni > Sicurezza > Siti attendibili > Siti
  
• stando attenti quando ci chiedono di creare preferiti o scrivere strani codici che iniziano con javascript: .