JS Может ли жабаскрипт на сайте воровать данные?

[kuzheren]

от нечего делать лазил по интересным доменам, как наткнулся на bird.com (не заходите!!). На фоне проигрывается какая-то серия гриффинов, а в середине экрана написано bird.com. почитав, я узнал, что этот домен продали за 10 лямов грязных зеленых бумажек, поэтому что-то на сайте явно было нечисто. решив зайти в код элемента нашел очень интересную ссылку - googletagmanager.com/gtag/js?id=G-L9H9BWMK8B. перейдя по ней, мне сразу вылезло напоминание от виндскрайба, что это опасный сайт. на bird.com виндскрайб тоже заблокировал скрипт, потому-что что-то в консоли было красное. перейдя по этой ссылке в инкогнито мы видим чудеснейший скрипт, в котором промелькивают слова cookie и token (перейдите в инкогнито и увидите).
вопрос: могут ли JS скрипты спиздить что-то?
если тема не в том разделе, то перенесите, очень уж хочется узнать ответ

 

[kizn]

Чтош, поиск в интернете уже изобрели, так что ты вполне мог им воспользоваться и загуглить данный домен. Загуглив его, ты найдешь официальные страницы от Google с упоминанием этого домена, а это значит, что этот домен принадлежит им (Example: https://developers.google.com/tag-manager/devguide?hl=ru)

Что такое Google Tag Manager: https://skillbox.ru/media/design/chto_takoe_google_tag_manager/

могут ли JS скрипты спиздить что-то?

У всех браузеров существует политика безопасности для большинства функций JS, которые могут любым образом принести вред. Сайт может получить только куки своего же сайта, к другим сайтам он добраться не сможет (только если кто-то найдет уязвимость в движке JS какого-то браузера)

Не думаю, что сайтам нужно пиздить твои куки, так как они у них есть, однако это помогает людям, которые совершают XSS-инъекции (

Спойлер

) на чужих сайтах.

 

[Liquit]

В дополнение к сообщению выше, хотел бы сказать, что скрипты действительно могут по факту сделать XSS-инжект. Попробую объяснить понятней: ты зашёл например в вк, залогился там, посидел, зашёл на какой-то другой сайт, и вдруг ты отправляешь сообщение своему незнакомцу, или просто подписываешься на неизвестную группу. Происходит это из-за того, что тот сайт, на который зашёл, сделал запрос к вк, чтобы он что-то сделал. К примеру, вроде как GET-запрос, message.send, отправить сообщение кому-то. В обычном вк логично, что он построен на своих же API, а ты как раз залогинен на сайте, что позволяет тебе спокойно отправлять сообщения или подписываться на группы. Вредоносный сайт же, может с помощью того HTML-кода совершить GET или POST запросы. К примеру:
<img href="https://vk.com/api/message.send?id=zloumishlennik">, точной ссылки и точных параметров я не помню, но это так, к примеру. В том числе можно отправлять и POST запросы, используя тег form. Его можно скрыть на сайте, а в скрипте прописать, чтобы он автоматически отправлялся, когда пользователь зашёл на сайт.
В давние времена, js-скрипты на сайтах были настоящими вирусами, но впоследствии их возможности значительно почикали, и мы имеем что есть. Вроде как читал, что они имели доступ к файлам на компе, или что-то такое.
Не претендую на лучший ответ, да и ответил как-то поздно, но anyway, надеюсь моя информация была полезной