كم هي آمنة غرسمونكي؟
https://stackoverflow.com/questions/316390
-
11-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وكنت تستخدم أبدا في الواقع غرسمونكي، ولكن كنت تفكر في استخدامه. وبالنظر إلى أن غرسمونكي يسمح لك للسماح للناس عشوائي على الإنترنت تغيير السلوك من المواقع المفضلة لديك، كيف آمنة يمكن أن يكون؟ يمكنهم سرقة كلمات السر الخاصة بي؟ انظروا إلى البيانات الخاصة بي؟ هل أشياء لم أكن تريد أن تفعل؟ كم هي آمنة غرسمونكي؟
والشكر
المحلول
وبالنظر إلى أن غرسمونكي يسمح لك للسماح للناس عشوائي على الإنترنت تغيير السلوك من المواقع المفضلة لديك، كيف آمنة يمكن أن يكون؟
وانها آمنة كما كنت تسمح لها أن تكون - ولكن لم تكن واضحة جدا، لذلك دعونا ننظر الى الامر من بعض وجهات النظر:
مطور ويب
وغرسمونكي لا تستطيع أن تفعل أي شيء لموقع الويب الخاص بك أن الشخص مع التلنت لا تستطيع أن تفعل بالفعل إلى موقع الويب الخاص بك. انها بأتمتة الأمور بعض الشيء، ولكن بخلاف ذلك إذا غرسمونكي هو ثغرة أمنية، ثم تصميم موقع الويب الخاص بك هو معيب - لا غرسمونكي
مستخدم للانترنت مع غرسمونكي تحميل
ومثل أي شيء آخر كنت تحميل على جهازك، غرسمونكي يمكن استخدامها ضدك. لا تقم بتحميل البرامج النصية على جهازك إلا إذا كنت تثق في المصدر (في كل من معاني مصطلح "المصدر"). انها محدودة نوعا ما وسندبوإكسد، ولكن هذا لا يعني أنها آمنة، مجرد أنه من الصعب لشخص ما أن تفعل شيئا الشائنة.
مستخدم الإنترنت دون غرسمونكي
إذا كنت لا تحميل غرسمونكي أو أي من البرامج النصية، فإنه لا يمكن أن تؤثر عليك بأي شكل من الأشكال. غرسمونكي لا يغير من المواقع التي تزورها إلا إذا كنت قد تحميله على النظام الخاص بك.
مطور غرسمونكي
وليس هناك الكثير مما يمكنك القيام به يتجاوز ما يمكن بالفعل أن يتم ذلك مع XUL وجافا سكريبت، ولكن من الممكن إلى سلة المهملات موزيلا و / أو التعريف فايرفوكس، وأجزاء أخرى ربما من النظام الخاص بك. من غير المحتمل، من الصعب القيام به عن قصد أو سوء نية، ولكنها ليست أداة واقية من الرصاص. تطوير بمسؤولية.
و-Adam
نصائح أخرى
وبالنظر إلى أن غرسمونكي يسمح لك للسماح للناس عشوائي على الإنترنت تغيير السلوك من المواقع المفضلة لديك
والناس عشوائية التي UserScript قمت بتثبيتها. لا يمكن لأحد أن يجبرك على تثبيت UserScript.
<اقتباس فقرة>هل كانت سرقة كلمات السر الخاصة بي؟
نعم، يمكن لUserScript تعديل صفحة تسجيل الدخول لذلك إرسال كلمة المرور الخاصة بك إلى المهاجم. لا، لا يمكن أن ننظر إلى كلمات السر الخاصة بك الحالية، أو لمواقع لم يتم تمكين UserScript ل
<اقتباس فقرة>ونظرة على البيانات الخاصة بي؟
نعم، إذا كانت البيانات الخاص للعرض على موقع على شبكة الانترنت أن كنت قد أعطيت الوصول UserScript جدا
<اقتباس فقرة>وتفعل أشياء لم أكن أريد أن أفعل؟
نعم، UserScript يمكن أن تفعل أشياء لصفحة ويب (كنت قد يعطى الوصول إلى) التي هي غير مرغوب فيه
<اقتباس فقرة>وكيف آمن هو من النوع GreaseMonkey؟
وآمنة مثل هذا UserScripts الفردية قمت بتثبيت
عند استخدامها مع التقديرات الخاصة، يجب أن يكون غرسمونكي آمنة تماما لتركيب واستخدام. في حين أنه من الممكن بالتأكيد أن تفعل كل الخلق من الأذى مع تفويضا مطلقا جافا سكريبت الوصول إلى صفحات، وتقتصر مخطوطات إلى عناوين URL محددة، وسوف يتم تشغيل على المواقع التي لم يتم تحديدها من قبل أنماط URL في رؤوس الخاصة بهم.
وأن يقال، وقاعدة أساسية من التجربة هو أن تنظر معظم المعلومات على صفحات مع مخطوطات النشطة لتكون في متناول تلك النصوص. ومن الناحية التقنية للعب مباريات مثل استبدال صناديق الإدخال (التي قد إدخال كلمة السر أو المعلومات الشخصية)، وقراءة أي بيانات على الصفحات، وإرسال البيانات التي تم جمعها إلى طرف ثالث. مخطوطات لا تعمل في رمل الفعال داخل المتصفح، ويجب أن لا تكون قادرة على التأثير جهاز الكمبيوتر الخاص بك خارج فايرفوكس.
وأن يقال، في بعض النواحي، والخطر هو مماثل أو أقل من ذلك من تثبيت أي قطع صغيرة أخرى من البرمجيات مفتوحة المصدر. منذ مخطوطات هي ملفات بسيطة مفتوحة المصدر جافا سكريبت، فإنه من السهل نسبيا لمبرمج لإلقاء نظرة داخل والتأكد من أنها تفعل ما تقول انها لا. كما هو الحال دائما، رمز تشغيل الغرباء "(أي شكل) بعناية، وتأخذ من الوقت لالخالي من شفرة المصدر إذا كان البرنامج هو مهم بالنسبة لك.
<ع> في عام الرغم من ذلك، يجب أن تكون مخطوطات آمن جدا. محاولة استخدام البرامج النصية مع عدد كبير من الاستعراضات والمستخدمين، حيث ان هذه من المحتمل أن تكون فحصها بدقة أكثر وتحليلها من قبل المجتمع.وuserscripting سعيد!
نعم، userscripts يمكن سرقة كلمات السر الخاصة بك. هذا هو بيت القصيد. لا تستخدم إضافات فايرفوكس أو userscripts على العمل أو الحكومة أجهزة الكمبيوتر دون الرجوع الى زعماء الخاص بك.
وعلى عكس فايرفوكس إضافات userscripts لا فحصها رسميا. (لا يتم أيضا فحص فايرفوكس إضافات 'التجريبية'). يمكنك تسجيل وإضافة برنامج نصي ضارة إلى userscripts.org في لحظة.
وUserscripts غير آمنة جدا. القدرة البرمجة عبر الموقع تعني أنه لا يجد صعوبة على الإطلاق لارسال التفاصيل الخاصة بك / كلمات السر لخادم الشر بخفاء تماما. ويمكن للالنصي تفعل ذلك لأي موقع. تجاهل الإجابات الأخرى التي تحاول عزل / تقليل هذه المسألة. هناك قضيتان: كتاب السيناريو الشر وضع بضاعتهم الشر إلى userscripts.org والكتابات التي كسر رمل greasemonkeys "وهكذا هم عرضة ليتم استخدامه من قبل الشيفرات الخبيثة على الموقع المخترق التي لولاها أن يقتصر على نفس المجال
في حالة الكتاب النصي الشر يمكنك فحص النصوص البرمجية التي ترسل التفاصيل الخاصة بك. ليس مسليا. على أقل تقدير يمكن تقييد نصي لمواقع معينة عن طريق تحرير شرط "تشمل / استبعاد". هذا لا يحل المشكلة إلا أنها على الأقل لن يتم طرد أوراق اعتماد المصرفية الخاصة بك (إلا إذا كنت قد استخدمت نفس تفاصيل تسجيل الدخول). من المؤسف لم يكن هناك "includexss" شرط لتقييد طلبات XSS، الذي من شأنه أن يحل المشكلة فعليا منذ ذلك الحين، بشكل حاسم، فإنه سيكون من السهل أن تحقق حتى بالنسبة لغير المطورين. (فايرفوكس الملحق "RequestPolicy" لا يمنع userscripts).
والبرامج النصية غير الآمنة: بحث عن أي استخدام لل"unsafewindow. هناك المكالمات الخطرة الأخرى . غرسمونكي لا يحذرك من استخدامها عند تثبيت البرنامج النصي. استخدام هذه الدعوات لا يعني أن السيناريو غير آمنة، مجرد أن كاتب السيناريو كان أفضل أن تكون جيدة في البرمجة الآمنة. من الصعب ومعظمها لا. I تجنب كتابة النصوص التي تحتاج هذه الدعوات. هناك شعبية، وارتفاع تحميل البرامج النصية التي تستخدم هذه المكالمات.
وفايرفوكس الإضافات / إضافات في Mozilla.org تعاني من مشاكل مماثلة لuserscripts ولكن على الأقل يتم فحصها بشكل رسمي. يتضمن التدقيق / المراجعة وكلها مهمة رمز الاستعراض. ومع ذلك، هناك تقنيات ذكية لتجنب الكشف عن رمز الشر من دون الحاجة إلى التشويش. يمكن أيضا أن استضافت الملحق على (غير معروف إلى أي شخص) الموقع المخترق. للأسف موزيلا أيضا إضافات قوائم "التجريبية" التي لا فحصها و<لأ href = "http://blog.mozilla.com/addons/2010/07/13/add-on-security-announcement/" يختلط = "نوفولو" وكان عنوان = "لقد الشيفرات الخبيثة"> الشيفرات الخبيثة . تحصل على تحذير ولكن كم تعرف المغزى الحقيقي. لم أكن حتى التقطت المعرفة الأمنية. أنا أبدا تثبيت هذه الإضافات.
ولم يتم فحصها رسميا Userscripts. ما لم نصي لديه الكثير من تثبيت I دراسة التعليمات البرمجية. وحتى مع ذلك أعلى مستوى في تثبيت النصي لا يزال من الممكن وكان خطف الاعتبار، كاتب السيناريو والنصي تعديل. حتى لو كنت تدرس السيناريو استخدام برامج مكافحة الكشف يعني أنني قد لا ترى الشر. ولعل أفضل رهان هو دراسة طلبات الصادرة مع "العبث البيانات" فايرفوكس الملحق، ولكن السيناريو ذكي تأخير أو إرسال البيانات بشكل غير منتظم. انها حرب تكتيكية، للأسف. اكتف ومن المفارقات فقط شهادة مايكروسوفت وذلك وفقا كائنات نهج حقا حل حقيقي في التتبع المطور (لكنها لم تذهب بعيدا بما فيه الكفاية).
وصحيح أن الملحق فايرفوكس يعطي التعرض الشر الفاعل أكبر لضحايا محتملين، منذ إضافات فايرفوكس عادة ما تكون أكثر شعبية وهكذا يبدو من المرجح أن تكون مستهدفة، ولكن عملية الفحص فايرفوكس يجعل userscripts أكثر جاذبية للالشر الفاعل منذ لا يتم فحصها فيها. يمكن القول المنخفض تحميل userscript لا يزال الحصول على الكثير الجنائي من تسجيل الدخول قيمة حتى يتم رصده، في حين يعطي أيضا عشرفائدة (ه) من الغموض النسبي وانخفاض زبد مجتمع userscripts، فضلا عن فرصة منخفضة من أي شخص رمز مراجعتها. لا يمكن أن تعتمد على شعبية إضافات فايرفوكس "لحمايتك من userscripts الشر.
ونتيجة لعدم المطور كنت تعتمد على المستخدمين الآخرين اكتشاف مخطوطات الشر / إضافات. كيف يحتمل ذلك؟ من تعرف. والحقيقة هي انها نموذج للأمن حماقة.
وأخيرا يمكنني استخدام فايرفوكس لتصفح العام وجوجل كروم (بدون غرسمونكي / الإضافات) لأغراض الادارة. لديها الكروم أيضا ميزة قابلة للاستخدام "أوضاع" (تماما المساحات تصفح منفصلة) وهو فعال مثل استخدام متصفحات مختلفة. لقد قمت بإعداد ثلاثة ملامح الكروم لجعل نفسي حتى أكثر أمانا: البريد الإلكتروني / العام، المشرف، المصرفي، باي / باي بال. فايرفوكس لديه ملامح غير صالحة للاستعمال (في تجربتي) ولكن أنا أفضل فايرفوكس كمتصفح الذي هو السبب في أنني لا تزال تستخدم لتصفح دون تمحيص. لمحات أيضا حماية ضد الثغرات الأمنية المتصفح الطراز القديم واختراق المواقع، على الأقل الحد من نطاقها. ولكن تأكد من استخدام كلمات مرور مختلفة. وثمة نهج آخر هو أوبونتو تمهيد نظيف تثبيت على عصا USB لالمشرف حاسم (انظر هنا HTTP: //www.geekconnection. غزاله / remastersys / ).
وJetpacks "نموذج الاستئماني الخاص، وليس مثل شبكة الثقة PGP، وهو ما يؤكد خطورة هذه المسألة، يجب أن نأمل تخفيف ذلك. من Jetpack هو طفل فايرفوكس الجديد على الكتلة: نوع من السوبر غرسمونكي
