Wie sicher ist Greasemonkey?

Question

Ich habe eigentlich nie Greasemonkey verwendet, aber ich erwäge, es zu benutzen. Bedenkt man, dass Greasemonkey können Sie wahllos Menschen im Internet lassen, das Verhalten Ihrer Lieblings-Websites ändern, wie sicher kann es sein? Können sie meine Passwörter stehlen? Sehen Sie sich meine privaten Daten? Sie Dinge, die ich wollte nicht tun? Wie sicher ist Greasemonkey?

Danke

Answer 1

Bedenkt man, dass Greasemonkey können Sie das Verhalten Ihrer Lieblings-Websites zufällige Personen über das Internet ändern lassen, wie sicher kann es sein?

Es ist so sicher, wie Sie es sein lassen - aber sie sind nicht sehr klar, also lassen Sie sich von einigen Perspektiven es aussehen:

Web Developer

Greasemonkey kann nichts auf Ihre Website tun, dass eine Person mit Telnet kann auf Ihre Website nicht bereits tun. Es automatisiert die Dinge ein wenig, aber anders als das, wenn Grease ein Sicherheitsloch ist, dann wird Ihre Website-Design ist fehlerhaft -. Nicht Grease

Internet-Nutzer mit Greasemonkey geladen

Wie alles andere auf dem System laden, Greasemonkey kann gegen Sie verwendet werden. Nicht-Skripte auf das System laden, wenn Sie die Quelle (in beiden Bedeutungen des Begriffs ‚Quelle‘) vertrauen. Es ist ziemlich begrenzt und Sandbox, aber das bedeutet nicht, es ist sicher, nur, dass es schwieriger ist, für jemand etwas ruchlose zu tun.

Internet-Nutzer ohne Grease

Wenn Sie nicht Greasemonkey oder eines seiner Skripte laden, kann es in irgendeiner Weise beeinflussen Sie nicht. Grease verändert nicht die von Ihnen besuchten Websites, wenn Sie es auf Ihrem System geladen haben.

Grease Entwickler

Es gibt nicht viel können Sie darüber hinaus tun, was bereits mit XUL und Javascript getan werden, aber es ist möglich, Ihre mozilla und / oder Firefox-Profil in den Papierkorb, und möglicherweise andere Teile des Systems. Unwahrscheinlich, schwer absichtlich zu tun oder böswillig, aber es ist kein kugelsicher Dienstprogramm. verantwortungsvoll entwickeln.

-Adam

Answer 2

  

In Anbetracht, dass Greasemonkey können Sie das Verhalten Ihrer Lieblings-Websites zufällige Personen über das Internet ändern lassen

Random Menschen, deren Userscript Sie installiert haben. Niemand kann Sie zwingen, ein Userscript zu installieren.

  

Können sie stehlen meine Passwörter?

Ja, ein Userscript könnte eine Login-Seite ändern, so dass es Ihr Passwort an einen Angreifer gesendet. Nein, es kann nicht sehen Ihre aktuellen Passwörter oder für Websites der Userscript ist nicht aktiviert für

  

Sehen Sie sich meine privaten Daten?

Ja, wenn Ihre privaten Daten sind sichtbar auf einer Website, die Sie zu einem Userscript Zugang gegeben habe

  

Sie Dinge, die ich nicht tun wollte?

Ja, ein Userscript könnten die Dinge auf eine Webseite tun (Sie gegeben haben sie den Zugang zu), die unerwünscht sind

  

Wie sicher ist Greasemonkey?

So sicher wie die einzelnen Userscripts Sie installiert haben

Answer 3

Wenn Sie mit Diskretion verwendet, Grease sollte absolut sicher sein, zu installieren und zu nutzen. Während es auf jeden Fall möglich ist, alle Arten des Unfugs mit carte-blanche Javascript Zugriff auf Seiten zu tun, ist Greasemonkey-Skripte auf bestimmte URLs beschränkt und nicht auf Websites führen, die durch die URL-Muster in ihrem Header nicht angegeben werden.

Dass gesagt wird, eine Faustregel ist die meisten Informationen auf den Seiten mit Greasemonkey-Skripte zu prüfen, aktiv auf diese Skripte zugänglich zu sein. Es ist technisch möglich, Spiele zu spielen, wie Eingabefelder zu ersetzen (in dem Sie könnten Passwörter oder persönliche Daten eingeben), lesen Sie alle Daten auf den Seiten und an einem Dritten gesammelten Daten senden. Greasemonkey-Skripte in einer effektiven Sandbox im Browser läuft, und soll Ihren Computer nicht außerhalb von Firefox beeinflussen kann, zu.

aber sagte, dass in mancher Hinsicht ist das Risiko vergleichbar mit oder kleiner ist als die anderen kleine Stücke von Open-Source-Software zu installieren. Da Greasemonkey-Skripte einfach Open-Source-JavaScript-Dateien sind, ist es relativ einfach für einen Programmierer einen Blick ins Innere zu nehmen und sicherzustellen, dass es das tut, was sie sagt, es tut. Wie immer laufen fremden Code (jeglicher Form) mit Sorgfalt, und die Zeit nehmen, den Quellcode zu überfliegen, wenn die Software für Sie wichtig ist.

Im Allgemeinen jedoch sollte Greasemonkey-Skripte ziemlich sicher sein. Versuchen Sie Skripte zu verwenden, mit einer großen Anzahl von Bewertungen und Nutzer, da diese wahrscheinlich gründlicher geprüft und von der Gemeinschaft analysiert werden.

Happy userscripting!

Answer 4

Ja, userscripts können Sie Ihre Passwörter stehlen. Das ist das Endergebnis. Verwenden Sie keine Firefox Addons oder userscripts auf der Arbeit oder Regierungscomputer ohne Bezug auf Ihre Chefs.

Im Gegensatz zu Firefox Addons Userscripts nicht formell geprüft. (Firefox ‚experimentell‘ Addons sind auch nicht überprüft). Sie können ein schädliches Skript registrieren und fügen Sie in einem Moment userscripts.org.

Userscripts sind sehr unsicher. Die Cross-Site-Scripting-Fähigkeit bedeutet, dass es keine Schwierigkeit ist bei all Ihren Daten / Passwörter zu einem bösen Server ganz unsichtbar zu schicken. Und das Skript kann es für jede Website tun. Ignorieren Sie die anderen Antworten, die schließen / minimieren dieses Problem zu versuchen. Es gibt zwei Probleme:. Böse Drehbuchautoren setzen ihre bösen Waren auf userscripts.org und Skripte, die greasemonkeys' Sandbox und so sind anfällig ihrer Verwendung durch bösartigen Code auf einer gehackten Website brechen, die sonst auf same-Domain beschränkt werden würde

Im Falle des Bösen Skript-Autoren können Sie die Skripte für Code untersuchen, die Ihre Daten sendet; nicht viel Spaß. Zumindest könnte man das Skript auf bestimmte Websites einschränken, indem Sie die "/ Ausschluss-Klausel. Das löst nicht das Problem, aber zumindest wird es nicht Ihre Bankdaten werden Absendung (es sei denn, Sie die gleichen Login-Daten verwendet haben). Es ist schade, da keine "includexss Klausel xss Anfragen zu beschränken ist, das das Problem effektiv lösen würde, da, entscheidend ist, wäre es leicht, auch für Nicht-Entwickler zu überprüfen. (Der Firefox-Addon "Request" nicht blockiert userscripts.)

Unsichere Skripte: Suchen Sie nach jeder Verwendung von ‚unsafewindow‘. Es gibt andere riskante Anrufe . Grease Sie nicht über ihre Verwendung warnen, wenn das Skript installiert ist. Die Verwendung dieser Anrufe nicht das Skript bedeutet unsicher ist, nur, dass der Drehbuchautor besser hatte auf der sicheren Programmierung gut sein; es ist schwierig, und die meisten sind es nicht. Ich vermeide Schreiben von Skripts, die diese Anrufe benötigen würde. Es sind beliebte, High-Download-Skripten, die diese Anrufe verwenden.

Firefox-Plugins / Addons bei Mozilla.org haben ähnliche Probleme wie userscripts aber zumindest sie formal überprüft werden. Die Sicherheitsüberprüfung / Bewertung enthält alle wichtigen Code-Review. Dennoch gibt es clevere Techniken, ohne die Notwendigkeit von Verschleierungs den Nachweis von bösem Code zu vermeiden. Auch kann das Addon auf einer (unbekannte jedermann) gehackte Website gehostet werden. Leider mozilla auch Listen 'experimentell' Addons, die nicht überprüft werden und hat bösartigen Code hat. Sie erhalten eine Warnung, aber wie viele wissen, die wahre Bedeutung. Ich habe nicht, bis ich Sicherheit Wissen abgeholt. Ich habe nie solche Addons installieren.

Userscripts nicht formell geprüft. Es sei denn, ein Skript eine Menge installiert hat untersuche ich den Code. Auch so ein High-Installationsskript noch hat, konnte den Skript-Schreiber des Konto hat entführt und Skript geändert. Auch wenn ich ein Skript die Verwendung von Anti-Erkennung Programmierung untersuchen bedeutet, dass ich nicht das Übel sehen. Vielleicht ist die beste Wette ist, ausgehende Anfragen mit „Tamper Data“ Firefox AddOn zu untersuchen, aber ein kluger Skript verzögern oder selten Daten senden. Es ist ein taktischer Krieg, leider. Ironischer nur Microsofts Zertifikat basiert activeX wirklich Objekte eine echte Lösung in Entwicklern Rückverfolgbarkeit nähern (aber nicht weit genug gehen).

Es ist wahr, dass ein Firefox AddOn ein Übeltäter mehr Exposition gegenüber potentiellen Opfer gibt, da Firefox Addons im Allgemeinen immer beliebter und so scheinen eher gezielt werden, aber die firefox Prüfungsprozess macht userscripts attraktiver für die Übeltäter da sie nicht überprüft werden. Diskutierbar ein Low-Download userscript kann immer noch eine kriminelle viel wertvolle Anmeldungen bekommen, bis er entdeckt wird, während auch th gebene Vorteil der relativen Unbekanntheit und geringe Abwanderungs von userscripts, sowie eine geringe Chance, jeder kann es Code-Überprüfung. Sie können nicht auf Firefox Addons' Popularität ab, die Sie vom Bösen userscripts zu schützen.

Als nicht-Entwickler Sie sich auf andere Benutzer abhängig sind Spek bösen Skripte / addons. Wie wahrscheinlich ist das? Wer weiß. Die Wahrheit ist, es ist ein Mist Sicherheitsmodell.

Schließlich verwende ich firefox für allgemeinen Browsing und Google Chrome (ohne Grease / Plugins) für die Admin-Zwecke. Chrome hat auch eine brauchbare ‚Profile‘ -Funktion (völlig getrennt Browsing Leerzeichen), die wie mit verschiedenen Browsern wirksam ist. Ich habe drei Chrom Profile einrichten, um mich noch sicherer: E-Mail / general-admin, Banken, ebay / Paypal. Firefox hat unbrauchbar Profile (nach meiner Erfahrung), aber ich lieber firefox als Browser, weshalb ich es nach wie vor für unkritische Surfen verwenden. Profile schützen auch gegen altmodische Sicherheitslücke im Browser und gehackte Websites, zumindest dessen Umfang zu beschränken. Aber stellen Sie sicher, dass Sie unterschiedliche Passwörter verwenden. Ein weiterer Ansatz ist ein sauberes startfähiges Ubuntu auf einem USB-Stick installieren für kritische admin (siehe hier http: //www.geekconnection. org / remastersys / ).

Jetpacks' besonderes Vertrauensmodell, eher wie das PGP Vertrauen Netzwerk, das die Ernsthaftigkeit dieses Problems betont, soll es hoffentlich mildern. Jetpack ist firefox das neue Kind auf dem Block: a. Art Super Greasemonkey