Насколько безопасен Greasemonkey?

Ответ 1

Учитывая, что GreaseMonkey позволяет вам позволять случайным людям в Интернете изменять поведение ваших любимых веб-сайтов, насколько это безопасно?

Это так же безопасно, как вы себе это позволяете - но вы не очень понятны, поэтому давайте посмотрим на это с нескольких точек зрения:

Веб-разработчик

Greasemonkey не может ничего сделать на вашем веб-сайте, что человек с telnet уже не может сделать ваш сайт. Это автоматизирует вещи немного, но кроме этого, если greasemonkey - это дыра в безопасности, тогда ваш дизайн сайта испорчен - не greasemonkey.

Пользователь Интернета с загруженной Greasemonkey

Как и все, что вы загружаете в свою систему, greasemonkey можно использовать против вас. Не загружайте скрипты в свою систему, если вы не доверяете источнику (в обоих значениях термина "источник" ). Это довольно ограниченно и изолировано, но это не значит, что это безопасно, просто для того, чтобы кто-то сделал что-то гнусное.

Пользователь Интернета без Greasemonkey

Если вы не загружаете greasemonkey или какой-либо из его скриптов, это никак не повлияет на вас. Greasemonkey не изменяет посещаемые вами веб-сайты, если вы не загрузили их в свою систему.

Разработчик Greasemonkey

Не так много вы можете сделать за пределами того, что уже можно сделать с помощью XUL и javascript, но можно удалить свой профиль mozilla и/или firefox и, возможно, другие части вашей системы. Вряд ли, трудно сделать нарочно или злонамеренно, но это не пуленепробиваемая утилита. Развивайте ответственно.

-Adam

Ответ 2

Учитывая, что GreaseMonkey позволяет вам позволять случайным людям в Интернете изменять поведение ваших любимых сайтов

Случайные пользователи, чей UserScript вы установили. Никто не может заставить вас установить UserScript.

Могут ли они украсть мои пароли?

Да, UserScript может изменить страницу входа, чтобы он отправил ваш пароль злоумышленнику. Нет, он не может смотреть ваши текущие пароли, или для веб-сайтов UserScript не включен для

Посмотрите мои личные данные?

Да, если ваши личные данные могут быть просмотрены на веб-сайте, на котором вы также получили доступ к пользовательскому интерфейсу

Делайте то, что я не хотел делать?

Да, пользовательский код может делать что-то на веб-странице (вы дали ей доступ), которые нежелательны

Насколько безопасен GreaseMonkey?

Безопасно, как отдельные пользовательские скрипты, которые вы установили

Ответ 3

При использовании с усмотрением, Greasemonkey должен быть абсолютно безопасным для установки и использования. В то время как определенно возможно делать все манеры вреда с помощью доступа к страницам с помощью карт-бланш Javascript, скрипты Greasemonkey ограничены конкретными URL-адресами и не будут выполняться на сайтах, которые не указаны шаблонами URL-адресов в своих заголовках.

При этом основное правило состоит в том, чтобы рассмотреть большую часть информации на страницах с активными сценариями Greasemonkey для доступа к этим скриптам. Технически возможно играть в игры, такие как замена ящиков ввода (в которые вы можете вводить пароли или личную информацию), читать любые данные на страницах и отправлять собранные данные третьим лицам. Сценарии Greasemonkey работают в эффективной песочнице в браузере и не должны влиять на ваш компьютер за пределами Firefox.

При этом в некоторых отношениях риск сравним или меньше, чем с установкой любых других небольших частей программного обеспечения с открытым исходным кодом. Поскольку скрипты Greasemonkey являются простыми файлами Javascript с открытым исходным кодом, программисту достаточно легко заглянуть внутрь и убедиться, что он делает то, что он говорит. Как всегда, используйте код незнакомцев (любой формы) с осторожностью и найдите время, чтобы просмотреть исходный код, если программное обеспечение для вас важно.

В общем, сценарии Greasemonkey должны быть довольно безопасными. Попытайтесь использовать скрипты с большим количеством отзывов и пользователей, поскольку они, вероятно, будут более тщательно проверены и проанализированы сообществом.

Счастливые скрипты пользователей!

Ответ 4

Да, пользовательские скрипты могут украсть ваши пароли. Это в нижней строке. Не используйте дополнения Firefox или пользовательские скрипты на рабочих или правительственных компьютерах, не обращаясь к вашим начальникам.

В отличие от админов firefox, пользовательские скрипты официально не проверяются. ( "Экспериментальные" аддоны Firefox также не проверяются). Вы можете зарегистрировать и добавить вредоносный script в userscripts.org через мгновение.

Пользовательские скрипты очень опасны. Возможность межсайтового скриптинга означает, что нет никаких проблем, чтобы отправить ваши данные/пароли злому серверу совершенно незаметно. И script может сделать это для любого сайта. Игнорируйте другие ответы, которые пытаются уволить/свести к минимуму эту проблему. Есть два вопроса: зло script писатели помещают свои злые изделия в usercripts.org и скрипты, которые разбивают песочницу greasemonkeys и поэтому уязвимы для использования вредоносным кодом на взломанном сайте, который в противном случае был бы ограничен одним и тем же доменом.

В случае зла script авторы вы можете изучить сценарии для кода, который отправляет ваши данные; не очень весело. По крайней мере, вы можете ограничить script конкретными сайтами, отредактировав предложение include/exclude. Это не решает проблему, но, по крайней мере, она не будет отправлять ваши банковские учетные данные (если вы не использовали те же данные для входа). Жаль, что не существует предложения includexss, чтобы ограничить запросы xss, что бы эффективно решить проблему, поскольку, в сущности, было бы легко проверить даже для не-разработчиков. (аддон Firefox "RequestPolicy" не блокирует пользовательские скрипты.)

Небезопасные скрипты: найдите любое использование "unsafewindow". другие рискованные звонки. Greasemonkey не предупреждает вас об их использовании, когда установлен script. Использование этих вызовов не означает, что script является небезопасным, просто чтобы писатель script лучше работал над безопасным программированием; это сложно, а большинство нет. Я избегаю писать сценарии, которые нуждаются в этих вызовах. Существуют популярные сценарии с высокой загрузкой, которые используют эти вызовы.

У плагинов/аддонов Firefox на Mozilla.org есть похожие проблемы с пользовательскими скриптами, но, по крайней мере, они официально проверяются. Проверка/проверка включает в себя все важные проверки кода. Тем не менее существуют умные методы для предотвращения обнаружения злого кода без необходимости обфускации. Кроме того, аддон может быть размещен на (неизвестном для всех) взломанном сайте. К сожалению, mozilla также перечисляет "экспериментальные" аддоны, которые не проверяются, и имели вредоносный код. Вы получаете предупреждение, но знаете, какое значение имеет реальность. Я не сделал, пока не понял знания безопасности. Я никогда не устанавливаю такие дополнения.

Пользовательские скрипты официально не проверяются. Если у script есть много инсталляций, я изучаю код. Даже при высокой установке script все равно могла быть угнана учетная запись script -writer и script. Даже если я рассмотрю script, использование антивирусного программного обеспечения означает, что я не вижу зла. Возможно, наилучшим вариантом является просмотр исходящих запросов с помощью админа Firefox Firefox, но умный script будет задерживать или редко отправлять данные. К сожалению, это тактическая война. По иронии судьбы только объекты ActiveX, основанные на сертификатах на основе microsoft, действительно подходят к реальному решению по отслеживаемости разработчика (но не слишком далеко).

Это правда, что аддон firefox дает злоумышленнику большую подверженность потенциальным жертвам, поскольку дополнения firefox, как правило, более популярны и, похоже, более вероятны, чтобы быть нацеленными, но процесс проверки firefox делает пользовательские скрипты более привлекательными для злоумышленника поскольку они не проверяются. Возможно, пользовательский сценарий с низкой загрузкой по-прежнему может получить криминальное множество ценных логинов до тех пор, пока он не будет замечен, а также даст преимущество относительной безвестности и низкого оттока пользователей в пользовательских сценариях, а также вероятность того, что любой код пересмотрит его. Вы не можете зависеть от популярности аддонов Firefox, чтобы защитить вас от злых пользовательских скриптов.

Как не-разработчик, вы зависите от других пользователей, обнаруживающих злые сценарии/аддоны. Насколько это возможно? Кто знает. Правда, это модель безопасности.

В конечном итоге я использую firefox для общего просмотра и Google Chrome (без greasemonkey/plugins) для целей администратора. Chrome также имеет удобную функцию "профилей" (полностью раздельные пространства просмотра), которая походит на использование разных браузеров. Я создал три профиля хрома, чтобы сделать себя еще более безопасным: электронная почта/общий-админ, банковское дело, ebay/paypal. Firefox имеет неиспользуемые профили (по моему опыту), но я предпочитаю Firefox как браузер, поэтому я все еще использую его для некритического просмотра. Профили также защищают от старомодных дыр в безопасности браузера и взломанных сайтов, по крайней мере ограничивая их возможности. Но убедитесь, что вы используете разные пароли. Другим подходом является чистая загрузочная установка ubuntu на USB-накопителе для критического администратора (см. Здесь http://www.geekconnection.org/remastersys/).

Специальная модель доверия Jetpacks, скорее, как сеть доверия PGP, которая подчеркивает серьезность этой проблемы, должна, надеюсь, смягчить ее. Jetpack - это новый парень на блоке: своего рода супер-смазкой.