Quel est le degré de sécurité de Greasemonkey?
https://stackoverflow.com/questions/316390
-
11-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je n’ai jamais utilisé Greasemonkey, mais j’envisageais de l’utiliser. Étant donné que GreaseMonkey vous permet de laisser des personnes aléatoires sur Internet modifier le comportement de vos sites Web préférés, quelle en est la sécurité? Peuvent-ils voler mes mots de passe? Regardez mes données privées? Est-ce que des choses que je ne voulais pas faire? Quel est le degré de sécurité de Greasemonkey?
Merci
La solution
Etant donné que GreaseMonkey vous permet de laisser des gens sur Internet modifier le comportement de vos sites Web favoris, quelle en est la sécurité?
C’est aussi sûr que vous le permettez - mais vous n’êtes pas très clair, regardons-le sous plusieurs angles:
Développeur Web
Greasemonkey ne peut rien modifier pour votre site Web, contrairement à une personne disposant de telnet. Cela automatise un peu les choses, mais à part ça, si Greasemonkey est une faille de sécurité, alors la conception de votre site Web est défectueuse - pas greasemonkey.
Utilisateur Internet avec Greasemonkey chargé
Comme tout ce que vous chargez sur votre système, greasemonkey peut être utilisé contre vous. Ne chargez pas de scripts sur votre système sauf si vous faites confiance à la source (dans les deux sens du terme "source"). C'est assez limité et bac à sable, mais cela ne signifie pas que c'est sécuritaire, mais que c'est plus difficile pour quelqu'un de faire quelque chose de néfaste.
Utilisateur Internet sans Greasemonkey
Si vous ne chargez pas greasemonkey ou l'un de ses scripts, cela ne vous affectera en aucune manière. Greasemonkey ne modifie pas les sites Web que vous visitez, à moins que vous ne l'ayez chargé sur votre système.
Développeur Greasemonkey
Vous ne pouvez pas faire beaucoup plus que ce que vous pouvez déjà faire avec XUL et javascript, mais il est possible de supprimer votre profil mozilla et / ou firefox, et éventuellement d’autres parties de votre système. Peu probable, difficile à faire exprès ou malicieusement, mais ce n'est pas un utilitaire pare-balles. Développer de manière responsable.
-Adam
Autres conseils
Considérant que GreaseMonkey vous permet de laisser des personnes aléatoires sur Internet modifier le comportement de vos sites Web préférés
Personnes aléatoires dont vous avez installé UserScript. Personne ne peut vous forcer à installer un UserScript.
Peuvent-ils voler mes mots de passe?
Oui, un UserScript peut modifier une page de connexion et envoyer votre mot de passe à un attaquant. Non, il ne peut pas consulter vos mots de passe actuels, ou pour les sites Web pour lesquels UserScript n'est pas activé
Regardez mes données privées?
Oui, si vos données privées sont affichables sur un site Web auquel vous avez également attribué un accès UserScript
Est-ce que des choses que je ne voulais pas faire?
Oui, un script UserScript peut modifier les éléments indésirables d'une page Web (auxquels vous lui avez donné accès)
Quel est le degré de sécurité de GreaseMonkey?
Aussi sûr que les scripts utilisateur que vous avez installés
Utilisé avec discrétion, Greasemonkey devrait être parfaitement sûr à installer et à utiliser. Bien qu'il soit tout à fait possible de faire toutes sortes de dégâts avec un accès Javascript carte-blanche aux pages, les scripts Greasemonkey sont limités à des URL spécifiques et ne s'exécutent pas sur des sites qui ne sont pas spécifiés par les modèles d'URL dans leurs en-têtes.
Cela étant dit, une règle de base est de considérer que la plupart des informations sur les pages avec des scripts Greasemonkey actifs sont accessibles à ces scripts. Il est techniquement possible de jouer à des jeux tels que le remplacement de zones de saisie (dans lesquelles vous pouvez entrer des mots de passe ou des informations personnelles), lire toutes les données des pages et envoyer les données collectées à un tiers. Les scripts Greasemonkey sont exécutés dans un sandbox efficace du navigateur et ne devraient pas pouvoir affecter votre ordinateur en dehors de Firefox.
Cela dit, à certains égards, le risque est comparable ou inférieur à celui de l’installation de tout autre petit logiciel open source. Comme les scripts Greasemonkey sont de simples fichiers Javascript open source, il est relativement facile pour un programmeur de regarder à l'intérieur et de s'assurer qu'il fait ce qu'il dit. Comme toujours, lancez le code des inconnus (sous quelque forme que ce soit) avec soin et prenez le temps de parcourir le code source si le logiciel est important pour vous.
En général, les scripts Greasemonkey devraient être relativement sûrs. Essayez d’utiliser des scripts avec un grand nombre de critiques et d’utilisateurs, car ceux-ci seront probablement mieux vérifiés et analysés par la communauté.
Bonne écriture!
Oui, les scripts utilisateurs peuvent voler vos mots de passe. C'est la ligne de fond. N'utilisez pas d'addets Firefox ou de scripts utilisateurs sur des ordinateurs de travail ou gouvernementaux sans consulter vos supérieurs.
Contrairement aux addons firefox, les scripts d’utilisateur ne sont pas officiellement validés. (Les addons «expérimentaux» de Firefox ne sont pas non plus vérifiés). Vous pouvez vous inscrire et ajouter un script malveillant à userscripts.org en un instant.
Les scripts utilisateurs sont très dangereux. La capacité de script intersite signifie qu’il n’ya aucune difficulté à envoyer vos détails / mots de passe à un serveur pervers de manière totalement invisible. Et le script peut le faire pour n'importe quel site. Ignorez les autres réponses qui tentent d'éliminer / minimiser ce problème. Il y a deux problèmes: les auteurs de scripts pervers qui soumettent leurs produits pervers à userscripts.org et les scripts qui cassent le sandbox de greasemonkeys et sont donc susceptibles d'être utilisés par du code malveillant sur un site piraté qui serait autrement restreint au même domaine.
Dans le cas des auteurs de scripts malveillants, vous pouvez examiner les scripts pour le code qui envoie vos détails; pas très amusant. À tout le moins, vous pouvez limiter le script à des sites particuliers en modifiant la clause 'include / exclude'. Cela ne résout pas le problème, mais au moins, vos identifiants bancaires ne seront pas envoyés (à moins que vous n'ayez utilisé les mêmes informations de connexion). Il est dommage qu’il n’y ait pas de clause 'includeexss' pour restreindre les requêtes xss, ce qui résoudrait effectivement le problème car, de manière cruciale, il serait facile de vérifier même pour les non-développeurs. (l'addon Firefox "RequestPolicy" ne bloque pas les scripts d'utilisateurs.)
Scripts non sécurisés: recherchez l’utilisation de 'unsafewindow'. Il existe d'autres appels à risque . Greasemonkey ne vous avertit pas de leur utilisation lorsque le script est installé. L'utilisation de ces appels ne signifie pas que le script est dangereux, mais que le scénariste a tout intérêt à être doué pour la programmation sécurisée; c'est difficile et la plupart ne le sont pas. J'évite d'écrire des scripts qui auraient besoin de ces appels. Il existe des scripts populaires à téléchargement élevé qui utilisent ces appels.
Les plugins / addons Firefox sur Mozilla.org ont des problèmes similaires à ceux des scripts d’utilisateur, mais au moins ils sont officiellement vérifiés. La vérification / révision comprend la révision de code très importante. Néanmoins, il existe des techniques astucieuses pour éviter la détection de code maléfique sans avoir recours à l'obscurcissement. L'addon peut également être hébergé sur un site piraté (inconnu de quiconque). Malheureusement, mozilla répertorie également les addons "expérimentaux" qui ne sont pas validés et ont eu du code malveillant . Vous recevez un avertissement, mais combien connaissent la véritable signification. Je ne l'ai pas fait jusqu'à ce que j'ai pris connaissance de la sécurité. Je n’installe jamais de tels addons.
Les scripts utilisateurs ne sont pas officiellement validés. À moins qu'un script ait beaucoup d'installations, j'examine le code. Même dans ce cas, le script du scripteur aurait pu être piraté et le script modifié. Même si j'examine un script, l'utilisation de la programmation anti-détection signifie que je ne vois peut-être pas le mal. Le mieux est peut-être d’examiner les demandes sortantes avec " Tamper Data " firefox addon, mais un script intelligent retardera ou enverra rarement des données. C'est une guerre tactique, malheureusement. Ironiquement, seuls les objets ActiveX basés sur les certificats de Microsoft s'approchent d'une solution réelle de traçabilité des développeurs (mais ne vont pas assez loin).
Il est vrai qu'un addon firefox offre aux malfaiteurs une plus grande exposition aux victimes potentielles, car les addons firefox sont généralement plus populaires et semblent donc plus susceptibles d'être ciblés, mais le processus de filtrage de firefox rend les scripts utilisateur plus attrayants pour le malfaiteur. puisqu'ils ne sont pas contrôlés. On peut soutenir qu'un utilisateur à faible téléchargement peut toujours obtenir une multitude de connexions de valeur jusqu'à ce qu'il soit détecté,
