¿Qué tan seguro es Greasemonkey?
https://stackoverflow.com/questions/316390
-
11-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Nunca he usado greasemonkey, pero estaba considerando usarlo. Teniendo en cuenta que GreaseMonkey le permite dejar que personas aleatorias en Internet cambien el comportamiento de sus sitios web favoritos, ¿qué tan seguro puede ser? ¿Pueden robar mis contraseñas? Mira mis datos privados? ¿Hacer cosas que no quería hacer? ¿Qué tan seguro es Greasemonkey?
Gracias
Solución
Teniendo en cuenta que GreaseMonkey le permite permitir que personas aleatorias en Internet cambien el comportamiento de sus sitios web favoritos, ¿qué tan seguro puede ser?
Es tan seguro como lo permites, pero no lo tienes muy claro, así que veámoslo desde algunas perspectivas:
Desarrollador web
Greasemonkey no puede hacerle nada a su sitio web que una persona con telnet ya no puede hacerle a su sitio web. Automatiza un poco las cosas, pero aparte de eso si greasemonkey es un agujero de seguridad, entonces el diseño de su sitio web es defectuoso, no greasemonkey.
Usuario de Internet con Greasemonkey cargado
Como cualquier otra cosa que cargue en su sistema, greasemonkey puede usarse en su contra. No cargue scripts en su sistema a menos que confíe en la fuente (en ambos sentidos del término 'fuente'). Es bastante limitado y protegido, pero eso no significa que sea seguro, simplemente que es más difícil para alguien hacer algo nefasto.
Usuario de Internet sin Greasemonkey
Si no carga greasemonkey o cualquiera de sus scripts, no puede afectarlo de ninguna manera. Greasemonkey no altera los sitios web que visita a menos que lo haya cargado en su sistema.
Desarrollador de Greasemonkey
No hay mucho que pueda hacer más allá de lo que ya se puede hacer con XUL y javascript, pero es posible destruir su perfil de Mozilla y / o Firefox, y posiblemente otras partes de su sistema. Es poco probable, difícil de hacer a propósito o maliciosamente, pero no es una utilidad a prueba de balas. Desarrollar de manera responsable.
-Adam
Otros consejos
Teniendo en cuenta que GreaseMonkey le permite permitir que personas aleatorias en Internet cambien el comportamiento de sus sitios web favoritos
Personas aleatorias cuyo UserScript ha instalado. Nadie puede obligarlo a instalar un UserScript.
¿Pueden robar mis contraseñas?
Sí, un UserScript podría modificar una página de inicio de sesión para enviar su contraseña a un atacante. No, no puede ver sus contraseñas actuales o sitios web en los que el UserScript no está habilitado
¿Ver mis datos privados?
Sí, si sus datos privados se pueden ver en un sitio web al que también le ha otorgado acceso UserScript
¿Hacer cosas que no quería hacer?
Sí, un UserScript podría hacerle cosas a una página web (a la que le ha dado acceso) que no son deseadas
¿Qué tan seguro es GreaseMonkey?
Tan seguro como los UserScripts individuales que ha instalado
Cuando se usa con discreción, Greasemonkey debe ser perfectamente seguro de instalar y usar. Si bien es definitivamente posible hacer todo tipo de travesuras con acceso Javascript a las páginas a carta, las secuencias de comandos de Greasemonkey están restringidas a URL específicas y no se ejecutarán en sitios que no estén especificados por los patrones de URL en sus encabezados.
Dicho esto, una regla básica es considerar que la mayoría de la información en las páginas con los scripts de Greasemonkey activos estén accesibles para esos scripts. Es técnicamente factible jugar juegos como reemplazar cuadros de entrada (en los que puede ingresar contraseñas o información personal), leer cualquier información en las páginas y enviar datos recopilados a un tercero. Los scripts de Greasemonkey se ejecutan en un entorno limitado efectivo dentro del navegador, y no deberían poder afectar su computadora fuera de Firefox.
Dicho esto, en algunos aspectos, el riesgo es comparable o menor que el de instalar cualquier otra pieza pequeña de software de código abierto. Dado que los scripts de Greasemonkey son simples archivos JavaScript de código abierto, es relativamente fácil para un programador echar un vistazo al interior y asegurarse de que hace lo que dice que hace. Como siempre, ejecute el código de los extraños (de cualquier forma) con cuidado y tómese el tiempo para leer el código fuente si el software es importante para usted.
Sin embargo, en general, los scripts de Greasemonkey deberían ser bastante seguros. Intente utilizar secuencias de comandos con una gran cantidad de comentarios y usuarios, ya que es probable que la comunidad los examine y analice más a fondo.
¡Feliz script de usuario!
Sí, los scripts de usuario pueden robar sus contraseñas. Esa es la conclusión. No use complementos de Firefox o scripts de usuario en computadoras de trabajo o gubernamentales sin referirse a sus jefes.
A diferencia de los complementos de Firefox, los scripts de usuario no se examinan formalmente. (Los complementos 'experimentales' de Firefox tampoco son investigados). Puede registrarse y agregar un script malicioso a userscripts.org en un momento.
Los scripts de usuario son muy inseguros. La capacidad de secuencias de comandos entre sitios significa que no es ninguna dificultad enviar sus detalles / contraseñas a un servidor malvado de manera invisible. Y el script puede hacerlo para cualquier sitio. Ignora las otras respuestas que intentan descartar / minimizar este problema. Hay dos problemas: los escritores de guiones malvados que ponen sus productos malvados en userscripts.org y los guiones que rompen la caja de arena de greasemonkeys y, por lo tanto, son vulnerables a ser utilizados por código malicioso en un sitio pirateado que de otro modo estaría restringido al mismo dominio.
En el caso de autores de guiones malvados, puede examinar los guiones en busca de código que envíe sus datos; no muy divertido Como mínimo, podría restringir el script a sitios particulares editando la cláusula 'incluir / excluir'. Eso no resuelve el problema, pero al menos no enviará sus credenciales bancarias (a menos que haya utilizado los mismos detalles de inicio de sesión). Es una pena que no haya una cláusula 'includexss' para restringir las solicitudes xss, lo que resolvería el problema de manera efectiva ya que, de manera crucial, sería fácil de verificar incluso para los que no son desarrolladores. (el complemento de Firefox " RequestPolicy " no bloquea los scripts de usuario).
Scripts inseguros: busque cualquier uso de 'ventana insegura'. Hay otras llamadas riesgosas . Greasemonkey no le advierte de su uso cuando se instala el script. El uso de estas llamadas no significa que el guión no sea seguro, solo que el guionista debería ser bueno en la programación segura; Es difícil y la mayoría no lo son. Evito escribir guiones que necesiten estas llamadas. Hay scripts populares de alta descarga que usan estas llamadas.
Los complementos / complementos de Firefox en Mozilla.org tienen problemas similares a los scripts de usuario, pero al menos son investigados formalmente. La revisión / revisión incluye la revisión de código más importante. Sin embargo, existen técnicas inteligentes para evitar la detección de códigos malignos sin la necesidad de ofuscación. Además, el complemento puede estar alojado en un sitio pirateado (desconocido para cualquiera). Lamentablemente, Mozilla también enumera los complementos 'experimentales' que no son examinados y ha tenido código malicioso . Recibes una advertencia, pero ¿cuántos conocen el significado real? No lo hice hasta que adquirí conocimientos de seguridad. Nunca instalo tales complementos.
Los guiones de usuario no se verifican formalmente. A menos que un script tenga muchas instalaciones, examino el código. Aun así, una secuencia de comandos de alta instalación podría haber tenido la cuenta del escritor de guiones secuestrada y la secuencia de comandos modificada. Incluso si examino un script, el uso de la programación anti-detección significa que no puedo ver el mal. Quizás la mejor opción es examinar las solicitudes salientes con "Datos de manipulación" complemento de Firefox, pero un script inteligente retrasará o enviará datos con poca frecuencia. Es una guerra táctica, desafortunadamente. Irónicamente, solo los objetos ActiveX basados ??en certificados de Microsoft realmente se acercan a una solución real en la trazabilidad del desarrollador (pero no llegaron lo suficientemente lejos).
Es cierto que un complemento de Firefox le da a un malhechor una mayor exposición a las posibles víctimas, ya que los complementos de Firefox son generalmente más populares y, por lo tanto, parecen ser más aptos, pero el proceso de investigación de Firefox hace que los guiones de usuario sean más atractivos para el malhechor ya que no son investigados. Podría decirse que un script de usuario de baja descarga aún puede obtener un delincuente con muchos inicios de sesión valiosos hasta que se detecta,
