Greasemonkey는 얼마나 안전합니까?

Question

나는 실제로 Greasemonkey를 사용한 적이 없지만 그것을 사용하는 것을 고려하고있었습니다. Greasemonkey를 고려하면 인터넷의 임의의 사람들이 좋아하는 웹 사이트의 행동을 바꿀 수 있습니다. 그들은 내 비밀번호를 훔칠 수 있습니까? 내 개인 데이터를 봐? 내가하고 싶지 않은 일을합니까? Greasemonkey는 얼마나 안전합니까?

감사

Answer 1

Greasemonkey를 고려하면 인터넷의 임의의 사람들이 좋아하는 웹 사이트의 행동을 바꿀 수 있습니다.

그것은 당신이 그것을 허용하는 것만 큼 안전합니다. 그러나 당신은 분명하지 않기 때문에 몇 가지 관점에서 그것을 살펴 보겠습니다.

웹 개발자

Greasemonkey는 귀하의 웹 사이트에 Telnet을 가진 사람이 귀하의 웹 사이트에 아직 할 수없는 것을 할 수 없습니다. Greasemonkey가 보안 구멍이라면 그 외에는 웹 사이트 디자인이 Greasemonkey가 아닌 그 외에는 물건을 약간 자동화합니다.

Greasemonkey가로드 된 인터넷 사용자

시스템에로드 한 다른 것과 마찬가지로 Greasemonkey는 귀하에게 사용할 수 있습니다. 소스를 신뢰하지 않는 한 ( '소스'라는 용어의 두 의미에서) 스크립트를 시스템에로드하지 마십시오. 그것은 상당히 제한적이고 샌드 박스가 있지만, 그것이 안전하다는 것을 의미하지는 않습니다. 단지 누군가가 사악한 일을하기가 더 어렵다는 것입니다.

Greasemonkey가없는 인터넷 사용자

Greasemonkey 또는 그 스크립트를로드하지 않으면 어떤 식 으로든 영향을 줄 수 없습니다. Greasemonkey는 시스템에로드하지 않으면 방문하는 웹 사이트를 변경하지 않습니다.

Greasemonkey 개발자

Xul과 JavaScript로 이미 할 수있는 것 이상으로 할 수있는 일은 많지 않지만 Mozilla 및/또는 Firefox 프로파일 및 시스템의 다른 부분을 버릴 수 있습니다. 의도적으로 또는 악의적으로 수행하기 어렵지만 방탄 유틸리티는 아닙니다. 책임감있게 개발하십시오.

-아담

Answer 2

Greasemonkey를 고려하면 인터넷의 임의의 사람들이 좋아하는 웹 사이트의 동작을 변경할 수 있습니다.

사용자가 설치 한 임의의 사람들. 아무도 사용자 스크립트를 설치하도록 강요 할 수 없습니다.

그들은 내 비밀번호를 훔칠 수 있습니까?

예, 사용자 스크립트는 로그인 페이지를 수정하여 암호를 공격자에게 보냈습니다. 아니요, 현재 비밀번호를 볼 수 없거나 웹 사이트의 경우 사용자 스크립트가 활성화되지 않은 웹 사이트의 경우

내 개인 데이터를 봐?

예, 개인 데이터가 웹 사이트에서 사용자에게도 액세스 할 수있는 웹 사이트에서도 볼 수있는 경우

내가하고 싶지 않은 일을합니까?

예, 사용자 스크립트는 원치 않는 웹 페이지 (액세스 권한을 부여한)에 대한 작업을 수행 할 수 있습니다.

Greasemonkey는 얼마나 안전합니까?

설치 한 개별 사용자 스크립트만큼 안전합니다

Answer 3

재량으로 사용하는 경우 Greasemonkey는 설치 및 사용에 완벽하게 안전해야합니다. Carte-Blanche JavaScript 액세스를 통해 모든 장난의 매너를 수행 할 수는 있지만 Greasemonkey 스크립트는 특정 URL로 제한되며 헤더의 URL 패턴으로 지정되지 않은 사이트에서는 실행되지 않습니다.

즉, 기본적인 경험 규칙은 해당 스크립트에 액세스 할 수 있도록 Greasemonkey 스크립트가있는 페이지에 대한 대부분의 정보를 고려하는 것입니다. 입력 상자 교체 (비밀번호 또는 개인 정보를 입력 할 수 있음)와 같은 게임을 재생하고 페이지의 데이터를 읽고 수집 된 데이터를 제 3 자에게 보냅니다. Greasemonkey 스크립트는 브라우저 내의 효과적인 샌드 박스에서 실행되며 Firefox 외부의 컴퓨터에 영향을 줄 수 없어야합니다.

즉, 어떤면에서 위험은 다른 작은 오픈 소스 소프트웨어를 설치하는 것과 비슷하거나 적습니다. Greasemonkey 스크립트는 간단한 오픈 소스 JavaScript 파일이므로 프로그래머가 내부를 살펴보고 그 말을하는 것이 비교적 쉽습니다. 항상 그렇듯이 낯선 사람의 코드 (모든 형태의)를 조심스럽게 실행하고 소프트웨어가 중요하다면 소스 코드를 훑어보십시오.

그러나 일반적으로 Greasemonkey 스크립트는 매우 안전해야합니다. 많은 리뷰와 사용자가있는 스크립트를 사용해보십시오. 커뮤니티가 더 철저하게 조사하고 분석 할 수 있기 때문입니다.

행복한 사용자 스크립팅!

Answer 4

예, 사용자 스크립트는 비밀번호를 훔칠 수 있습니다. 그게 결론입니다. 상사를 언급하지 않고 직장이나 정부 컴퓨터에서 Firefox Addons 또는 사용자 스크립트를 사용하지 마십시오.

Firefox Addons와 달리 사용자 스크립트는 공식적으로 조사되지 않습니다. (Firefox 'Experimental'Addon도 심사하지 않습니다). 잠시 안에 userscripts.org에 악의적 인 스크립트를 등록하고 추가 할 수 있습니다.

사용자 스크립트는 매우 안전하지 않습니다. 크로스 사이트 스크립팅 능력은 세부 사항/암호를 악의적으로 사악한 서버로 전송하는 것이 어려운 일이 아니라는 것을 의미합니다. 그리고 스크립트는 모든 사이트에 대해이를 수행 할 수 있습니다. 이 문제를 해산/최소화하려는 다른 답변을 무시하십시오. 두 가지 문제가 있습니다. 사악한 스크립트 작가는 userscripts.org에 사악한 제품을 넣고 Greasemonkeys의 샌드 박스를 깨뜨리는 스크립트로 인해 동일한 도메인으로 제한되는 해킹 된 사이트의 악성 코드에 사용되는 데 취약합니다.

사악한 스크립트 저자의 경우 세부 사항을 보내는 코드 스크립트를 검사 할 수 있습니다. 별로 재미 있지 않습니다. 최소한 '포함/제외'절을 편집하여 스크립트를 특정 사이트로 제한 할 수 있습니다. 그것은 문제를 해결하지는 않지만 적어도 은행 자격 증명을 보내지 않을 것입니다 (동일한 로그인 세부 정보를 사용하지 않는 한). XSS 요청을 제한하는 '포함 된 XSS'조항이없는 것은 유감입니다.이 문제는 문제를 효과적으로 해결할 수 있습니다. 왜냐하면 비 개발자들에게도 쉽게 확인하기가 쉽기 때문입니다. (Firefox Addon "RequestPolicy"는 사용자 스크립트를 차단하지 않습니다.)

안전하지 않은 스크립트 : 'UnsafeWindow'의 사용을 찾으십시오. 거기 있습니다 다른 위험한 전화. Greasemonkey는 스크립트가 설치 될 때 사용에 대해 경고하지 않습니다. 이러한 통화를 사용한다는 것은 스크립트가 안전하지 않다는 것을 의미하지는 않습니다. 스크립트 작성자가 안전한 프로그래밍에 능숙하다는 것입니다. 어렵고 대부분은 그렇지 않습니다. 이러한 전화가 필요한 스크립트를 작성하지 않습니다. 이러한 통화를 사용하는 인기있는 고하로드 스크립트가 있습니다.

mozilla.org의 Firefox 플러그인/애드온은 사용자 스크립트와 비슷한 문제가 있지만 적어도 공식적으로 조사됩니다. Vetting/Review에는 가장 중요한 코드 검토가 포함됩니다. 그럼에도 불구하고 난독 화가 필요하지 않고 사악한 코드의 탐지를 피하는 영리한 기술이 있습니다. 또한 애드온은 (누구에게도 알려지지 않은) 해킹 된 사이트에서 호스팅 될 수 있습니다. 불행히도 Mozilla는 또한 심사하지 않은 '실험적'애드온을 나열하고 악의적 인 코드가 있습니다. 당신은 경고를 받지만 얼마나 많은 사람들이 진정한 의미를 알고 있는지 보안 지식을 집어들 때까지는하지 않았습니다. 나는 그런 애드온을 설치하지 않습니다.

사용자 스크립트는 공식적으로 조사되지 않습니다. 스크립트에 설치가 많지 않으면 코드를 검사합니다. 그럼에도 불구하고 높은 설치 스크립트는 여전히 스크립트 작성기의 계정이 납치 및 스크립트를 수정했을 수 있습니다. 대본을 조사하더라도 방지 방지 프로그래밍을 사용한다는 것은 악을 볼 수 없다는 것을 의미합니다. 아마도 가장 좋은 방법은 "변조 데이터"Firefox Addon으로 나가는 요청을 검사하는 것이지만 영리한 스크립트는 데이터를 지연 시키거나 드물게 보내는 것입니다. 불행히도 전술 전쟁입니다. 아이러니하게도 Microsoft의 인증서 기반 ActiveX 객체 만 실제로 개발자 추적 성에서 실제 솔루션에 접근하지만 충분히 멀지 않았습니다.

Firefox Addon이 잠재적 인 희생자들에게 악의적으로 더 큰 노출을 제공한다는 것은 사실입니다. Firefox Addon은 일반적으로 더 인기가 높기 때문에 타겟팅 될 가능성이 높기 때문에 Firefox Vetting 프로세스는 사용자 스크립트가 악의적 인 이후로 악의적으로 매력적으로 만듭니다. 심사하지 않았습니다. 아마도 낮은 다운로드 사용자 스크립트는 여전히 범죄가 발견 될 때까지 여전히 많은 귀중한 로그인을 얻을 수 있으며, 또한 상대적인 모호함과 사용자 스크립트의 낮은 커뮤니티 휘젓기의 이점을 제공 할뿐만 아니라 모든 사람이 코드보고 할 가능성이 낮습니다. 당신은 사악한 사용자들로부터 당신을 보호하기 위해 Firefox Addons의 인기에 의존 할 수 없습니다.

비 개발자로서 당신은 사악한 스크립트/애드온을 발견하는 다른 사용자에게 의존합니다. 얼마나 가능합니까? 누가 알아. 진실은 그것이 쓰레기 보안 모델이라는 것입니다.

궁극적으로 나는 일반 브라우징에 Firefox를 사용하고 Google Chrome (Greasemonkey/Plugins 없음)을 관리 목적으로 사용합니다. Chrome에는 또한 다른 브라우저를 사용하는 것과 같은 사용 가능한 '프로필'기능 (완전히 별도의 브라우징 공간)이 있습니다. 이메일/일반-아드먼, 뱅킹, eBay/PayPal과 같은 세 가지 크롬 프로파일을 설정했습니다. Firefox에는 사용할 수없는 프로파일이 있지만 (내 경험상) Firefox를 브라우저로 선호하므로 여전히 비판적 브라우징에 사용하는 이유입니다. 프로파일은 또한 구식 브라우저 보안 구멍 및 해킹 된 사이트로부터 적어도 범위를 제한합니다. 그러나 다른 비밀번호를 사용해야합니다. 또 다른 접근법은 Critical Admin을위한 USB 스틱에 깨끗한 부팅 가능한 Ubuntu 설치입니다 (여기 참조) http://www.geekconnection.org/remastersys/).

이 문제의 심각성을 강조하는 PGP Trust Network와 마찬가지로 JetPacks의 특별 신뢰 모델은 희망적으로 완화해야합니다. Jetpack은 Block On The Block의 새로운 Kid : 일종의 Super Greasemonkey입니다.