Sicherheit von injiziertem JS — was ein Snippet wirklich kann
Injiziertes JavaScript ist mächtig — es läuft mit den vollen Rechten der Seite, die du besuchst. Das macht es nützlich und zugleich verständniswert. Dieser Artikel erklärt, was ein Snippet wirklich kann und wem man vertrauen sollte.
Was injiziertes JS kann
Regelcode läuft im Seitenkontext — er hat denselben Zugriff wie die eigenen Skripte der Seite:
- Liest und ändert das ganze DOM — einschließlich Formularfelder und ihrer Werte.
- Liest für JS verfügbare Cookies und den
localStorageder Seite. - Sendet
fetch-Anfragen im Namen der Seite (innerhalb ihrer CSP).
Das sind genau die Fähigkeiten, die Regeln nützlich machen. Aber es bedeutet, dass das Ausführen fremder Snippets fremden Code mit diesen Rechten ausführt.
Was injiziertes JS nicht kann
- Es liest keine Seiten auf anderen Domains — die Same-Origin-Policy der Seite gilt für es.
- Es greift nicht auf Dateien auf deiner Festplatte oder andere Tabs zu.
- Es liest keine als
HttpOnlymarkierten Cookies — die sind für JavaScript unsichtbar.
Das Vertrauensprinzip — lesen, bevor du einfügst
Beim Import eines geteilten Bundles zeigt JustZix eine Warnung, wenn es JavaScript enthält — und zu Recht. Eine CSS-Regel verdirbt höchstens das Aussehen. Eine JS-Regel kann lesen, was du in ein Formular tippst. Bevor du fremde Snippets ausführst:
- Lies sie. Ein kurzes, lesbares Snippet erklärt sich selbst.
- Hüte dich vor obfusziertem Code — zufällige Variablennamen, lange Base64-Strings,
eval. Ein ehrliches Snippet hat keinen Grund, sich zu verstecken. - Hüte dich vor einem
fetch, das Daten an eine fremde Adresse sendet — das ist potenzielle Exfiltration.
JustZix selbst spioniert nicht
Die Erweiterung hat keine Telemetrie — sie meldet nicht, welche Seiten du besuchst oder was du injizierst. Das Backend sieht nur den Sync-Schlüssel-Hash und verschlüsselte Regel-Bundles. Das Risiko liegt nicht im Werkzeug — es liegt in dem Code, den du selbst auszuführen wählst. Also schreibe Regeln selbst, oder führe nur die aus, die du verstehst.
Siehe auch
- Wie die Synchronisierung funktioniert — was das Backend sieht und was nicht
- Injektion und CSP — die Grenzen von injiziertem Code
- JustZix für ein QA-Team — mit Bedacht teilen
Installiere JustZix — und führe nur Code aus, dem du vertraust.
Bewerte diesen Beitrag
Noch keine Bewertungen — sei der Erste.