https://techblog.securesky-tech.com/entry/2019/09/02/130000
ECサイトなどの決済画面に不正なスクリプトを埋め込み、ユーザがフォームに入力したクレジットカード情報を窃取する攻撃。
特定のフォームに入力用ページを改ざんして入力された情報を抜き取る「標的型攻撃」、広告配信システムのライブラリを改ざんすることで、広告が配信されたサイトで入力された情報を抜き取る「サプライチェーン攻撃」がある。
どちらもサービス提供者側のプログラムが改ざんされているので、クライアント側では防御しづらい。
ブラウザが「この画面からはこのドメイン以外とは通信しないよ」というのを明示できればまだ防御できる余地はあるか……?でもそれをやるとCDNライブラリが使えなくなるという問題がある。
ブラウザ動作レベルで規格化された認証がBASIC認証程度しかないのがまずいんだろうか。
