如何安全是油猴子?

Question

我从来没有实际使用的油猴子的，但是我正在考虑采用它。考虑到油猴子的允许你让我们随机的人在互联网上的改变行为您最喜爱的网站，如何安全可以吗？他们可以偷我密码?看看我的私人数据？做的东西我没想要做什么？如何安全是油猴子?

感谢

Answer 1

考虑到的GreaseMonkey允许您让随机的人在互联网上改变您喜爱的网站的行为，它的安全性如何可能呢？的

当你允许它成为它是安全的 - 但你不是很清楚，所以让我们来看看它从几方面：

Web开发者

Greasemonkey的不能做任何事情来你的网站，通过telnet一个人不能做已经到你的网站。它自动事情有点，但除此之外，如果是Greasemonkey的一个安全漏洞，那么你的网站的设计是有缺陷的 - 而不是Greasemonkey的

与Greasemonkey的因特网用户装载

其他任何事情一样，你在系统上加载，Greasemonkey的可以用来对付你。除非您信任源（术语“源”两种意义）不要将脚本下载到您的系统。这是相当有限的，沙盒，但是，这并不意味着它是安全的，仅仅是它很难为别人做一些事情恶意。

因特网用户而不Greasemonkey的

如果您不加载的Greasemonkey或其任何脚本，它可以在不影响您以任何方式。 Greasemonkey的不会改变你访问，除非你装好了系统上的网站。

Greasemonkey的显影剂

这里没有什么可以做，什么之外已经可以用XUL和JavaScript完成，但有可能你的垃圾Mozilla和/或Firefox的配置文件，您的系统可能的其它部分。不可能的，很难做到故意或恶意，但它不是一个防弹工具。 发展负责任。

- 亚当

Answer 2

  

考虑到的GreaseMonkey允许您让随机的人在互联网上改变您喜爱的网站的行为

随机人，他们已经安装UserScript。没有人可以强迫你安装一个UserScript。

  

他们能偷我的密码？

是的，UserScript可能因此它送到你的密码给攻击者修改登录页面。 不，它不能看看你的当前密码，或者网站的UserScript没有为启用

  

看我的私人数据？

是，如果您的私人数据是，你给一个UserScript访问过一个网站上观看

  

做我不想做？

是的，UserScript可以做一些事情来一个网页（你给它访问）是不必要的。

  

安全性如何的GreaseMonkey？

由于安全的，因为你已经安装了单独的UserScripts

Answer 3

当谨慎使用，Greasemonkey的应该是完全安全的安装和使用。虽然这是绝对有可能做点 - 布兰奇的Javascript对页面的访问恶作剧的所有方式，Greasemonkey脚本只能访问特定的网址，而不会在未在其标题中的URL模式指定的网站上投放。

话虽这么说，拇指的基本规则是要考虑与活跃的是那些脚本访问Greasemonkey脚本的网页最多的信息。这是玩游戏像更换输入框（在其中您可以输入密码或个人信息），请阅读页面上的任何数据，并收集发送到第三方数据技术上是可行的。 Greasemonkey脚本都在浏览器内有效的沙箱中运行，并且不应该是能够影响你的电脑的Firefox之外。

这就是说，在某些方面，风险是相当或低于安装任何其他小片的开放源码软件。由于Greasemonkey脚本是简单的开源JavaScript文件，它是相对容易的程序员来看看里面，并确保它做什么，它说，它的作用。与往常一样，运行陌生人的代码（任何形式）与关怀，并花时间脱脂的源代码，如果该软件对你很重要。

虽然在一般，Greasemonkey脚本应该是相当安全的。尝试使用了大量的评论和用户的使用脚本，因为这些有可能被更彻底地由社区审核和分析。

快乐userscripting！

Answer 4

是的，userscripts可以偷你的密码。这就是底线。不用firefox扩展中心或userscripts在工作或政府计算机，而不参照你的老板。

不像firefox扩展中心userscripts没有正式的审查.(Firefox"试验性"扩展中心也是不经过审查).你可以注册并添加一个恶意脚本userscripts.org 在一个时刻。

Userscripts是非常不安全。截站脚本能力意味着它没有任何困难都要送您的详细信息/密码对一个邪恶的服务器相当看不见.和剧本可以做任何网站。忽略其他的答案，试图解除/减少这种问题。有两个问题：邪恶的剧本作者将他们邪恶的商品上userscripts.org 和脚本，破greasemonkeys沙盒所以很容易受到正在使用上的恶意代码一个黑客攻击网站，否则将仅限于相同领域。

在这种情况下的邪恶的剧本作者你可以检查脚本代码发送您的详细信息；不多的乐趣。至少你可能会限制的脚本到特定的地点通过编辑'包括/排除'条款。这并不解决问题，但至少它不会送走你的银行凭证(除非你已经使用同样的登录的细节)。可惜的是没有一个'includexss'条款限制的xss请求，这将有效地解决问题，因为，至关重要的是，它将以易于检查甚至对非开发。(Firefox插"RequestPolicy"不会阻止userscripts.)

不安全的脚本：寻找任何使用的'unsafewindow'.还有 其他危险的电话.油猴子不会警告你，他们用脚本时安装。使用的这些呼吁并不意味着脚本是不安全，只是说脚本作家最好是好，在安全方案编制；它是困难和最不。我避免编写脚本，这将需要这些话。有很受欢迎的，高下载脚本，使用这些电话。

Firefox插件/扩展中心在Mozilla.org 也有类似的问题，以userscripts但至少他们是正式的审查.审查/审查包括的所有重要审查。尽管如此有聪明的技巧避开检测的邪恶的代码不必要的混淆。也该附件也可以托管上(未知的任何人)黑客攻击网站。不幸的是mozilla还列出了"试验性"的插件是不经过审查和 有恶意代码.你会得到一个警告，但有多少人知道真正的意义。我没有，直到我拿起安全知识。我永远不会安装这样的插件。

Userscripts没有正式的审查.除非脚本有一个很大的安装，我考察的代码。即便如此高安装脚本可能仍然有剧本作者的账户被劫持和脚本修改。甚至如果我检查的一个脚本用的防检测程意味着我可看不出邪恶。也许最好的赌注是审查传出的请求"篡改的数据"火狐加，但是一个聪明的脚本中将会延迟或不经常送数据。这是一个战术性战争，不幸的。具有讽刺意味的是只有微软件基于证书的对象的真正方法的一个真正的解决方案在开发可追溯性(但并没有走得足够远).

这是真的那firefox附件提供了一个邪恶者更多地接触到潜在的受害者，因为firefox扩展中心一般都比较受欢迎，因此似乎更有可能有针对性的，但火狐审查过程使得userscripts更有吸引力的恶者，因为他们没有审查过.可以说是一种低下载userscript仍然可以获得刑事的大量有价值的登录，直到它发现，同时也给予受益的相对默默无闻和低社会流失的userscripts，以及较低的机会，任何人的代码-审查。你不可能取决于firefox扩展中心的受欢迎程度，以保护你不受邪恶的userscripts.

作为一个非开发你都依赖于其他用户发现邪恶的scripts/插件。怎么可能？谁知道。真相是它是一个垃圾的安全模式。

最后，我使用火狐，用于一般浏览和谷歌铬(没有油猴子/插件)，用于管理目的。铬也有可用的"配置文件"的要素(完全独立的浏览空间)，这是有效地使用不同的浏览器。我已经设置了三个铬配置，使自己甚至更多的安全：电子邮件/通管理、银行、ebay/贝宝。Firefox已经无法使用配置文件(以我的经验)，但我更喜欢火狐如浏览器这就是为什么我仍然可以使用它为不加批判的浏览。配置文件，也保护老式的浏览器的安全漏洞和黑客攻击网站，至少限制它们的范围。但是，确保使用不同的密码。另一种办法是洁净的可启动ubuntu安装在一个u盘的关键管理员(在这里看到的 http://www.geekconnection.org/remastersys/).

燃料和特别的信托模式，而不是像PGP信任网络，该网络强调的严重性，这个问题，应该希望减轻。喷气是firefox是块新的孩子:一种超级油猴子的.