Greasemonkeyはどのくらい安全ですか？

Question

グリースモンキーを実際に使用したことはありませんが、使用を検討していました。 GreaseMonkeyを使用すると、インターネット上のランダムなユーザーがお気に入りのWebサイトの動作を変更できるようになることを考えると、どれだけ安全なのでしょうか？ 彼らは私のパスワードを盗むことができますか？私の個人データを見てください？やりたくないことはありますか？ Greasemonkeyはどのくらい安全ですか？

ありがとう

Answer 1

GreaseMonkeyを使用すると、インターネット上のランダムな人々がお気に入りのWebサイトの動作を変更できるようになると考えてください。どの程度安全ですか？

それはあなたがそれを許可するのと同じくらい安全です-しかし、あなたはあまり明確ではないので、いくつかの観点からそれを見てみましょう：

Web開発者

Greasemonkeyは、Telnetを使用している人があなたのWebサイトに対して実行できないことをWebサイトに対して実行できません。それは少し物事を自動化しますが、それ以外の場合、greasemonkeyがセキュリティホールであれば、ウェブサイトのデザインに欠陥があります。greasemonkeyではありません。

Greasemonkeyをロードしたインターネットユーザー

システムにロードするものと同様に、greasemonkeyを使用できます。ソースを信頼しない限り、システムにスクリプトをロードしないでください（「ソース」という用語の両方の意味で）。かなり制限され、サンドボックス化されていますが、だからといって安全だというわけではなく、誰かが悪意のあることをするのが難しいというだけです。

Greasemonkeyを使用しないインターネットユーザー

greasemonkeyまたはそのスクリプトのいずれもロードしない場合、何らかの影響はありません。 Greasemonkeyは、システムにロードしていない限り、アクセスするWebサイトを変更しません。

Greasemonkey開発者

XULとjavascriptで既にできること以外にできることはあまりありませんが、mozillaやfirefoxのプロファイル、そしておそらくシステムの他の部分を破壊することは可能です。ありそうにない、故意にまたは悪意を持って行うことは困難ですが、それは防弾ユーティリティではありません。 責任を持って開発する。

-アダム

Answer 2

  

GreaseMonkeyを使用すると、インターネット上のランダムなユーザーがお気に入りのWebサイトの動作を変更できるようになることを考慮

UserScriptをインストールしたランダムな人々。 UserScriptを強制的にインストールすることはできません。

  

彼らは私のパスワードを盗むことができますか？

はい、UserScriptはログインページを変更してパスワードを攻撃者に送信する可能性があります。 いいえ、現在のパスワードを確認することはできません。また、WebサイトではUserScriptが有効になっていません

  

個人データを見てください

はい、個人データがUserScriptアクセス権を与えたWebサイトで閲覧できる場合

  

やりたくないことはありますか？

はい、UserScriptはWebページ（アクセス権を与えた）に対して望ましくないことを行う可能性があります

  

GreaseMonkeyはどのくらい安全ですか？

インストールした個々のUserScriptと同じくらい安全です

Answer 3

Greasemonkeyは、慎重に使用すると、インストールおよび使用しても完全に安全です。 Carte-blanche Javascriptによるページへのあらゆるアクセス方法で悪戯を行うことは間違いなく可能ですが、Greasemonkeyスクリプトは特定のURLに制限されており、ヘッダーのURLパターンで指定されていないサイトでは実行されません。

とはいえ、基本的な経験則は、Greasemonkeyスクリプトがアクティブになっているページのほとんどの情報を、それらのスクリプトからアクセスできるようにすることです。入力ボックス（パスワードや個人情報を入力する場合があります）の交換などのゲームをプレイし、ページ上のデータを読み取り、収集したデータを第三者に送信することは技術的に実現可能です。 Greasemonkeyスクリプトはブラウザー内の効果的なサンドボックスで実行されるため、Firefox以外のコンピューターに影響を与えることはできません。

とはいえ、いくつかの点で、このリスクは他の小さなオープンソースソフトウェアをインストールする場合と同等かそれ以下です。 GreasemonkeyスクリプトはシンプルなオープンソースのJavascriptファイルであるため、プログラマーは比較的簡単に内部を調べて、そのとおりに動作することを確認します。いつものように、見知らぬ人の（あらゆる形式の）コードを注意して実行し、ソフトウェアがあなたにとって重要な場合は、ソースコードをスキミングする時間をかけてください。

ただし、一般に、Greasemonkeyスクリプトは非常に安全です。多数のレビューとユーザーを含むスクリプトを使用するようにしてください。これらはより徹底的に吟味され、コミュニティによって分析される可能性が高いためです。

ハッピースクリプティング！

Answer 4

はい、ユーザースクリプトはパスワードを盗むことができます。それが一番下の行です。上司を参照せずに、職場や政府のコンピューターでFirefoxのアドオンやユーザースクリプトを使用しないでください。

Firefoxアドオンとは異なり、ユーザースクリプトは正式に審査されません。 （Firefoxの「実験的」アドオンも審査されていません）。すぐにuserscripts.orgに悪意のあるスクリプトを登録して追加できます。

ユーザースクリプトは非常に安全ではありません。クロスサイトスクリプティング機能により、詳細/パスワードを悪意のあるサーバーに目に見えないように送信することはまったく困難ではありません。また、スクリプトはどのサイトでも実行できます。この問題を却下/最小化しようとする他の回答は無視してください。 2つの問題があります：邪悪なスクリプト作成者が自分の邪悪なウェアをuserscripts.orgに置くことと、グリースモンキーのサンドボックスを破壊するスクリプトであり、そうでなければ同じドメインに制限されるハッキングされたサイトの悪意のあるコードによって使用されやすくなります。

悪意のあるスクリプト作成者の場合、詳細を送信するコードのスクリプトを調べることができます。あまり楽しくありません。少なくとも、 'include / exclude'句を編集して、スクリプトを特定のサイトに制限できます。これで問題は解決しませんが、少なくとも同じログイン情報を使用していない限り、銀行の認証情報を送信することはありません。 xssリクエストを制限する 'includexss'句がないのは残念です。これは、開発者でない人でも簡単にチェックできるため、問題を効果的に解決できます。 （Firefoxアドオン＆quot; RequestPolicy＆quot;はユーザースクリプトをブロックしません。）

安全でないスクリプト：「unsafewindow」の使用を探します。 その他の危険な呼び出しがあります。 Greasemonkeyは、スクリプトのインストール時にそれらの使用について警告しません。これらの呼び出しを使用することは、スクリプトが安全でないことを意味するのではなく、スクリプトの作成者が安全なプログラミングが得意であるというだけのことです。それは難しく、ほとんどはそうではありません。これらの呼び出しを必要とするスクリプトを書くことは避けます。これらの呼び出しを使用する人気の高いダウンロードスクリプトがあります。

Mozilla.orgのFirefoxプラグイン/アドオンには、ユーザースクリプトと同様の問題がありますが、少なくとも正式に吟味されています。審査/レビューには、非常に重要なコードレビューが含まれています。それにもかかわらず、難読化を必要とせずに邪悪なコードの検出を回避するための巧妙な技術があります。また、アドオンは（誰にも知られていない）ハッキングされたサイトでホストされる可能性があります。残念ながら、mozillaは「実験的」なアドオンも確認しますが、これらは吟味されておらず、悪意のあるコードがありました。警告が表示されますが、実際の重要性を知っている人はどれだけいますか。セキュリティの知識を習得するまではそうしませんでした。このようなアドオンはインストールしません。

ユーザースクリプトは正式に審査されていません。スクリプトに多数のインストールがない限り、コードを調べます。それでも、高インストールスクリプトでは、スクリプト作成者のアカウントがハイジャックされ、スクリプトが変更される可能性がありました。スクリプトを調べても、アンチ検出プログラミングの使用は悪を見ることはないかもしれません。おそらく、最善の方法は、「改ざんデータ」を使用して送信リクエストを調べることです。 firefoxアドオン、しかし巧妙なスクリプトはデータを遅らせるか、めったに送信しません。残念ながら戦術的な戦争です。皮肉なことに、Microsoftの証明書ベースのactiveXオブジェクトのみが、開発者のトレーサビリティにおける実際のソリューションに実際に近づいています（しかし、十分ではありませんでした）。

Firefoxアドオンは一般的に人気があり、ターゲットにされる可能性が高いため、Firefoxアドオンは悪意のあるユーザーに潜在的な被害者にさらされることは事実ですが、Firefoxの審査プロセスはユーザースクリプトを悪意のあるユーザーにとってより魅力的にします彼らは吟味されていないので。おそらく、ダウンロードの少ないユーザースクリプトは、発見されるまで犯罪者の貴重なログインを大量に取得する可能性があります。