本地消息的安全性？

Question

我有一个NPAPI插件的登录数据在网站上。

我想用本地消息传递技术代替它。我看过文档，但我有一个问题:这种技术安全吗？

黑客能捕捉到从JavaScript传输到本地主机应用程序的数据吗？

编辑:合并成一个措辞更好的问题：

• stdio数据传输有多安全？
• 对于这样的数据传输，是否存在中间人攻击的方法？

Answer 1

原则上，可以检查可执行文件所做的stdio调用。

例如，在Linux系统上，您可以为此目的使用strace。我不知道类似的Windows工具，但可以想象它的存在。

这类似于将调试器附加到浏览器/本机主机本身，并且只能由具有相同用户凭据或管理访问权限的访问本地计算机的人来完成。特别是，运行Chrome的用户可以这样做--就像他/她可以使用Dev工具在JavaScript端检查和拦截数据一样。

所以，是的，原则上是可以被拦截的，但是只有有人才会完全有权在运行的系统上执行/调试代码，而OS注意不允许普通用户以这种方式检查其他用户的进程。

Answer 2

当然，您会意识到，本机消息只能在机器的范围内工作:使用本机消息传递，浏览器将通过stdin/stdout与主机应用程序通信。

那么问题到底是什么呢？如果黑客能够监听你的stdin/stdout，他们已经在你的机器上了--你已经输了。

Answer 3

不完全是这样，有时黑客可以在易受攻击的站点上找到XSS，然后可以使用本机消息在受害者系统上执行命令。