Dacă sunteți dezvoltatori web, ați folosit cu siguranță consola din Chrome sau din alte navigatoare pentru a depana codul Javascript sau integrări cu serviciile terțe. Depanarea cu ajutorul consolei este o activitate banală pentru un programator.

Boo boo!

Însă pentru cei care nu sunt programatori, deschiderea consolei pe anumite saituri foarte populare, îi poate speria. Este consola chiar periculoasă!? Și mai bine să te ferești de ea?

Ei, nu chiar. Consola este un utilitar pentru depanarea paginilor web, și în special al codului Javascript, care facilitează componentele interactive de pe un sait web. În acest scop, consola are acces la toate informațiile pe care le transmiți unui sait, inclusiv cookie-uri, stocarea locală sau istoric. Desigur și tu ca utilizator al aplicației de browser (navigator) ai access la toate aceste informații fiind stocate la tine pe calculator.

Dar fiind un utilitar pentru depanare consola, de asemenea permite transmiterea acestor informații către alte saituri. Cookies și localStorage sunt date private, care pot fi folosite pentru clonarea sesiunii unui utilizator - similar cu operațiunea de clonare a unui card bancar. Și cum vă puteți gândi, are fi păcat ca aceste informații să ajungă în posesia unor persoane rău-intenționate.

De aceea avertismentul asta vă și spune:

Aceasta este o funcţie de browser destinată dezvoltatorilor. Dacă cineva ţi-a spus să copiezi ceva aici pentru a activa o altă funcţie Facebook sau pentru a „sparge” contul cuiva, este o înşelătorie şi îi vei oferi acces la contul tău de Facebook.

Cu alte cuvinte, dacă nu aveți de făcut depanare, fie că sunteți dezvoltator sau nu, și cineva vă oferă indicații să deschideți consola să să copiați ceva coduri acolo, este cel mai probabil o înșelătorie, oricât de prietenoasă ar putea părea persoana respectivă. Facebook și alte platforme populare se confruntă zilnic cu mii de astfel de încercări de ”furt a credențielelor” sau credential theft cum sunt denumite.

Ce face un programator, de obicei în consolă

Cea mai frecventă activitate, unde consola vine în ajutor este depanarea erorilor, rezultate prin rularea diverselor scripturi:

De asemenea unele scripturi, care colectează statistici sau metrici de performanță nu au un efect vizibil pe pagină și atunci singura indicație că au rulat se vede doar prin mesaje de informație în consolă.

O altă acțiune frecventă, este rularea de cod Javascript - pentru a depana direct funcții sau obiecte specifice scripturilor. Însă, fiind in instrument destinat dezvoltatorilor, consola nu are limitări, sau sandboxing, și poate rula orice cod Javascript:

Așadar putem încărca scripturi din surse externe, rula funcții de care citesc datele din storage-ul local sau vedea conținutul modulelor cookie. Detalii importante pentru un programator care depanează, dar la fel de prețioase pentru un hacker care dorește să obțină controlul asupra unui cont de utilizator.

Așadar consola este ca un cuțit de pâine, indispensabil la masă, dar din neatenție, te poți și tăia.

Referințe:

• [EN] Console Wars Part 1: Hacks for Hackers

• [EN] Using JavaScript to hack the web