Quanto è sicuro Greasemonkey?
https://stackoverflow.com/questions/316390
-
11-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Non ho mai usato greasemonkey, ma stavo pensando di usarlo. Considerando che GreaseMonkey ti consente di consentire a persone casuali su Internet di modificare il comportamento dei tuoi siti Web preferiti, quanto può essere sicuro? Possono rubare le mie password? Guarda i miei dati privati? Fai cose che non volevo fare? Quanto è sicuro Greasemonkey?
Grazie
Soluzione
Considerando che GreaseMonkey ti consente di consentire a persone casuali su Internet di modificare il comportamento dei tuoi siti Web preferiti, quanto può essere sicuro?
È sicuro quanto tu lo permetti, ma non sei molto chiaro, quindi diamo un'occhiata da alcune prospettive:
Sviluppatore Web
Greasemonkey non può fare nulla sul tuo sito web che una persona con telnet non può già fare sul tuo sito web. Automatizza le cose un po ', ma a parte questo se greasemonkey è un buco nella sicurezza, allora il design del tuo sito Web è difettoso, non greasemonkey.
Utente Internet con Greasemonkey caricato
Come qualsiasi altra cosa carichi sul tuo sistema, greasemonkey può essere usato contro di te. Non caricare script sul tuo sistema se non ti fidi della fonte (in entrambi i significati del termine "fonte"). È piuttosto limitato e sandbox, ma ciò non significa che sia sicuro, semplicemente che è più difficile per qualcuno fare qualcosa di malvagio.
Utente Internet senza Greasemonkey
Se non carichi greasemonkey o alcuno dei suoi script, non può influenzarti in alcun modo. Greasemonkey non modifica i siti Web visitati a meno che non siano stati caricati sul sistema.
Sviluppatore Greasemonkey
Non c'è molto che puoi fare oltre a ciò che è già possibile fare con XUL e javascript, ma è possibile eliminare il tuo profilo mozilla e / o firefox e possibilmente altre parti del tuo sistema. Improbabile, difficile da fare apposta o malizioso, ma non è un'utilità a prova di proiettile. Sviluppa responsabilmente.
-Adam
Altri suggerimenti
Considerando che GreaseMonkey ti consente di consentire a persone casuali su Internet di modificare il comportamento dei tuoi siti Web preferiti
Persone casuali di cui hai installato UserScript. Nessuno può costringerti a installare un UserScript.
Possono rubare le mie password?
Sì, un UserScript potrebbe modificare una pagina di accesso in modo da inviare la password a un utente malintenzionato. No, non può guardare le tue password attuali o per i siti Web per cui UserScript non è abilitato
Guarda i miei dati privati?
Sì, se i tuoi dati privati ??sono visualizzabili su un sito Web a cui hai concesso anche un accesso UserScript
Fai cose che non volevo fare?
Sì, un UserScript potrebbe eseguire operazioni su una pagina Web (a cui hai concesso l'accesso) indesiderate
Quanto è sicuro GreaseMonkey?
Sicuro come i singoli UserScript che hai installato
Se usato con discrezione, Greasemonkey dovrebbe essere perfettamente sicuro da installare e utilizzare. Mentre è sicuramente possibile fare tutte le maniere di malizia con l'accesso Javascript a carte bianche alle pagine, gli script Greasemonkey sono limitati a URL specifici e non verranno eseguiti su siti che non sono specificati dai pattern URL nelle loro intestazioni.
Detto questo, una regola empirica di base è considerare la maggior parte delle informazioni sulle pagine con script Greasemonkey attivi accessibili a tali script. È tecnicamente possibile giocare a giochi come la sostituzione di caselle di input (in cui è possibile inserire password o informazioni personali), leggere tutti i dati sulle pagine e inviare i dati raccolti a terzi. Gli script Greasemonkey vengono eseguiti in un sandbox efficace all'interno del browser e non dovrebbero essere in grado di influire sul computer al di fuori di Firefox.
Detto questo, per alcuni aspetti, il rischio è paragonabile o inferiore a quello dell'installazione di altri piccoli software open source. Poiché gli script Greasemonkey sono semplici file Javascript open source, è relativamente facile per un programmatore dare un'occhiata all'interno e assicurarsi che faccia quello che dice di fare. Come sempre, esegui il codice di estranei (di qualsiasi forma) con cura e prenditi il ??tempo di scremare il codice sorgente se il software è importante per te.
In generale, tuttavia, gli script di Greasemonkey dovrebbero essere abbastanza sicuri. Prova a utilizzare gli script con un gran numero di recensioni e utenti, poiché è probabile che questi vengano controllati e analizzati in modo più approfondito dalla community.
Buona scrittura degli utenti!
Sì, gli script utente possono rubare le tue password. Questa è la linea di fondo. Non utilizzare addon o script utente di Firefox su computer aziendali o governativi senza fare riferimento ai tuoi capi.
A differenza dei componenti aggiuntivi di Firefox, gli script utente non vengono controllati formalmente. (Anche gli addon "sperimentali" di Firefox non vengono controllati). Puoi registrarti e aggiungere uno script dannoso a userscripts.org in un momento.
Gli script utente non sono molto sicuri. La capacità di scripting tra siti significa che non è affatto difficile inviare i tuoi dettagli / password a un server malvagio in modo invisibile. E lo script può farlo per qualsiasi sito. Ignora le altre risposte che tentano di eliminare / ridurre al minimo questo problema. Ci sono due problemi: gli autori di script malvagi che inseriscono i loro articoli malvagi su userscripts.org e gli script che rompono la sandbox di greasemonkeys e quindi sono vulnerabili all'utilizzo da parte di codice dannoso su un sito compromesso che altrimenti verrebbe limitato allo stesso dominio.
Nel caso di autori di script malvagi puoi esaminare gli script per il codice che invia i tuoi dettagli; non molto divertente. Per lo meno, potresti limitare lo script a determinati siti modificando la clausola 'include / exclude'. Ciò non risolve il problema, ma almeno non invierà le tue credenziali bancarie (a meno che tu non abbia utilizzato gli stessi dettagli di accesso). È un peccato che non ci sia una clausola 'includexss' per limitare le richieste xss, che risolverà efficacemente il problema poiché, soprattutto, sarebbe facile controllare anche per i non sviluppatori. (l'addon di Firefox "RequestPolicy" non blocca gli script utente.)
Script non sicuri: cerca qualsiasi uso di 'finestra non sicura'. Ci sono altre chiamate rischiose . Greasemonkey non ti avverte del loro uso quando lo script è installato. L'uso di queste chiamate non significa che lo script non sia sicuro, ma solo che lo sceneggiatore dovrebbe essere bravo a programmare in modo sicuro; è difficile e molti non lo sono. Evito di scrivere script che avrebbero bisogno di queste chiamate. Esistono script popolari a download elevato che utilizzano queste chiamate.
I plugin / componenti aggiuntivi di Firefox su Mozilla.org hanno problemi simili agli script degli utenti ma almeno sono controllati formalmente. Il controllo / revisione include l'importantissima revisione del codice. Tuttavia ci sono tecniche intelligenti per evitare il rilevamento del codice malvagio senza la necessità di offuscamento. Inoltre, il componente aggiuntivo può essere ospitato su un sito compromesso (sconosciuto a chiunque). Sfortunatamente mozilla elenca anche addon "sperimentali" che non sono controllati e hanno avuto codice dannoso . Ricevi un avvertimento ma quanti conoscono il vero significato. Non l'ho fatto fino a quando non ho acquisito conoscenze sulla sicurezza. Non installo mai tali componenti aggiuntivi.
Gli script utente non vengono verificati formalmente. A meno che uno script non abbia molte installazioni, esamino il codice. Anche così uno script con installazione elevata avrebbe potuto comunque far sì che l'account dello sceneggiatore fosse stato dirottato e modificato. Anche se esamino una sceneggiatura l'uso della programmazione anti-rilevamento significa che potrei non vedere il male. Forse la soluzione migliore è esaminare le richieste in uscita con "Dati manomissione" addon di Firefox, ma uno script intelligente ritarderà o invierà raramente i dati. È una guerra tattica, sfortunatamente. Ironia della sorte, solo gli oggetti activeX basati su certificati di Microsoft si avvicinano davvero a una soluzione reale nella tracciabilità degli sviluppatori (ma non sono andati abbastanza lontano).
È vero che un addon di firefox offre a un malvagio una maggiore esposizione alle potenziali vittime, poiché gli addon di firefox sono generalmente più popolari e quindi sembrano più probabili essere presi di mira, ma il processo di controllo di firefox rende gli script utente più attraenti per il malvagio dal momento che non sono controllati. Probabilmente uno script utente a basso download può ancora ottenere un criminale un sacco di accessi preziosi fino a quando non viene individuato,
