Como o cofre é Greasemonkey?

Question

Eu nunca realmente utilizados greasemonkey, mas eu estava pensando em usá-lo. Considerando que GreaseMonkey permite que você deixe pessoas aleatórias sobre a mudança Internet o comportamento de seus sites favoritos, como o cofre pode ser? eles podem roubar minhas senhas? Olhe para o meu dados privados? Fazer coisas que eu não queria fazer? Como o cofre é Greasemonkey?

Graças

Answer 1

Considerando que GreaseMonkey permite que você deixe as pessoas aleatórias na mudança Internet o comportamento de seus sites favoritos, como pode seguro ser?

É tão seguro como você permitir que ele seja - mas você não está muito claro, então vamos olhar para ele a partir de algumas perspectivas:

Web Developer

Greasemonkey não pode fazer nada para o seu site que uma pessoa com telnet já não pode fazer para o seu site. Ele automatiza as coisas um pouco, mas diferente do que se Greasemonkey é uma falha de segurança, em seguida, o design do site é falho -. Não greasemonkey

user Internet com Greasemonkey carregado

Como qualquer outra coisa que você carregar em seu sistema, greasemonkey pode ser usado contra você. Não carregar scripts em seu sistema a menos que você confiar na fonte (em ambos os sentidos do termo 'fonte'). É bastante limitado e no modo seguro, mas isso não significa que é seguro, mas apenas que é mais difícil para alguém para fazer algo nefasto.

user Internet sem Greasemonkey

Se você não carregar greasemonkey ou qualquer de seus roteiros, não pode afetá-lo de qualquer forma. faz Greasemonkey não alteram os sites que você visita, a menos que você carregou em seu sistema.

Greasemonkey desenvolvedor

Não há muito que você pode fazer além do que já pode ser feito com XUL e JavaScript, mas é possível para o lixo o seu mozilla e / ou perfil do Firefox, e possivelmente outras partes do seu sistema. Não, difícil de fazer de propósito ou maliciosamente, mas não é um utilitário à prova de balas. Desenvolver de forma responsável.

-Adam

Answer 2

Considerando que GreaseMonkey permite que você deixe pessoas aleatórias sobre a mudança Internet o comportamento de seus sites favoritos

pessoas aleatórias cuja UserScript você instalou. Ninguém pode forçá-lo a instalar um UserScript.

Eles podem roubar minhas senhas?

Sim, um UserScript poderia modificar uma página de login para que ele enviou sua senha a um atacante. Não, não pode olhar para suas senhas atuais, ou para sites da UserScript não está habilitado para

Olhe para a minha dados privados?

Sim, se os seus dados privados é visível em um site que você tenha dado um acesso UserScript demasiado

fazer coisas que eu não queria fazer?

Sim, um UserScript poderia fazer coisas para uma página web (você deu-lhe acesso a) que não são desejadas

Como o cofre é GreaseMonkey?

Por mais seguro que os UserScripts individuais que você instalou

Answer 3

Quando usado com critério, Greasemonkey deve ser perfeitamente seguro de instalar e usar. Embora seja definitivamente possível fazer todas as formas de mal com carta branca acesso Javascript para páginas, scripts Greasemonkey está restrito a URLs específicos, e não será executado em sites que não são especificadas pelos padrões de URL em seus cabeçalhos.

Dito isto, a regra básica é a de considerar mais informações sobre páginas com scripts Greasemonkey ativos para ser acessível a esses scripts. É tecnicamente viável para jogar jogos como substituir as caixas de entrada (no qual você pode digitar senhas ou informações pessoais), leia todos os dados nas páginas, e enviar os dados recolhidos a terceiros. scripts Greasemonkey são executados em uma sandbox eficaz dentro do navegador, e não deve ser capaz de afectar o seu fora do computador do Firefox.

Dito isto, em alguns aspectos, o risco é comparável ou menor do que a instalação de quaisquer outros pequenos pedaços de software de fonte aberta. Desde scripts Greasemonkey são simples arquivos de código aberto Javascript, é relativamente fácil para um programador para dar uma olhada dentro e verifique se ele faz o que diz que faz. Como sempre, o código dos estranhos executados (de qualquer forma) com cuidado, e ter tempo para roçar o código fonte, se o software é importante para você.

No entanto geral, scripts Greasemonkey deve ser bastante seguro. Tente usar scripts com um grande número de comentários e usuários, uma vez que estes são susceptíveis de ser mais bem controlados e analisados ??pela comunidade.

userscripting feliz!

Answer 4

Sim, userscripts pode roubar suas senhas. Essa é a linha de fundo. Não use complementos para o Firefox ou userscripts em computadores de trabalho ou do governo sem se referir a seus patrões.

Ao contrário do firefox addons userscripts não são formalmente aprovados. (Complementos Firefox '' experimentais também não são controlados). Você pode se registrar e adicionar um script malicioso para userscripts.org em um momento.

UserScripts são muito inseguro. Os meios scripting capacidade de cross-site que é nenhuma dificuldade para enviar os seus dados / senha para um servidor mal bastante invisível. E o script pode fazê-lo para qualquer site. Ignorar as outras respostas que tentam descartar / minimizar este problema. Há duas questões: roteiristas mal colocando suas mercadorias mal para userscripts.org e scripts que sandbox greasemonkeys quebra e assim são vulneráveis ??a ser usado por código malicioso em um site hackeado que seriam restritos a pessoas do mesmo domínio

No caso de autores de script mal você pode examinar os scripts para o código que envia os seus dados; não é muito divertido. No mínimo, você pode restringir o script para sites específicos editando a cláusula 'incluir / excluir'. que isso não resolve o problema, mas pelo menos ele não vai estar enviando as suas credenciais bancárias (a menos que você tenha usado os mesmos dados de login). É uma pena que não há uma cláusula 'includexss' para restringir pedidos de XSS, que seria efetivamente resolver o problema, já que, crucialmente, seria fácil de verificar, mesmo para os não-desenvolvedores. (O addon Firefox "RequestPolicy" não bloqueia userscripts.)

roteiros inseguras: olhar para qualquer uso de 'unsafeWindow'. Há outras chamadas de risco . faz Greasemonkey não avisá-lo do seu uso quando o script está instalado. O uso dessas chamadas não significa que o roteiro não é seguro, só que o roteirista melhor que seja bom em programação segura; é difícil ea maioria não são. Evito escrever scripts que precisam essas chamadas. Existem populares, scripts de alta de download que usam essas chamadas.

plugins do Firefox / complementos em Mozilla.org têm problemas semelhantes aos userscripts mas pelo menos eles são formalmente aprovados. A habilitação / revisão inclui a importante código-review. No entanto, existem técnicas inteligentes para evitar a detecção de código mal sem a necessidade de obscurecimento. Além disso, o complemento pode ser hospedado em um (desconhecido para ninguém) site hackeado. Infelizmente mozilla também complementos listas de 'experimental' que não são controlados e tiveram código malicioso . Você receberá um aviso, mas quantos sabem o significado real. Eu não até eu peguei conhecimento de segurança. Eu nunca instalar tais complementos.

UserScripts não são formalmente aprovados. A menos que um script tem um monte de instalações I examinar o código. Mesmo assim um script de alta instalar ainda poderia ter tido a conta do argumentista sequestrado e script modificado. Mesmo se eu examinar um script a utilização de meios de programação anti-detecção não pode ver o mal. Talvez a melhor aposta é a de examinar os pedidos de saída com addon "Tamper Data" firefox, mas um roteiro inteligente irá atrasar ou raramente enviar dados. É uma guerra tática, infelizmente. Ironicamente único certificado da Microsoft baseada objetos ActiveX realmente se aproximar de uma solução real no desenvolvedor rastreabilidade (mas não ir longe o suficiente).

É verdade que um addon firefox dá uma exposição malfeitor maior de vítimas potenciais, desde complementos do Firefox são geralmente mais popular e por isso parecem mais propensos a ser alvo, mas o processo de habilitação firefox faz userscripts mais atraente para o malfeitor uma vez que não são controlados. Indiscutivelmente um userscript baixo-download ainda pode obter uma abundância criminal de logins valiosos até que seja descoberto, ao mesmo tempo dando the benefício da relativa obscuridade e baixa rotatividade comunidade de userscripts, bem como uma baixa probabilidade de qualquer código de rever-lo. Você não pode depender de popularidade firefox addons para protegê-lo de userscripts malignos.

Como um não-desenvolvedor você é dependente de outros usuários mancha de scripts mal / addons. Qual é a probabilidade de que? Quem sabe. A verdade é que é um modelo de segurança porcaria.

Em última análise, eu uso o Firefox para navegação geral e Google Chrome (sem Greasemonkey / plugins) para fins de administração. Chrome também tem um recurso utilizável 'perfis' (totalmente espaços de navegação separadas) que é efetivamente como o uso de diferentes navegadores. Eu configurei três perfis cromados para me tornar ainda mais seguro: e-mail /-admin geral, banca, ebay / paypal. Firefox tem perfis inutilizáveis ??(na minha experiência), mas eu prefiro o Firefox como um navegador que é por isso que eu ainda usá-lo para navegação acrítica. Os perfis também proteger contra falhas de segurança do navegador antiquado e sites pirateados, pelo menos, limitar o seu alcance. Mas certifique-se de usar senhas diferentes. Outra abordagem é um arranque limpo ubuntu instalar em um stick USB para administrador crítico (ver aqui http: //www.geekconnection. org / remastersys / ).

modelo Jetpacks' especial confiança, um pouco como a rede de confiança PGP, que sublinha a gravidade desta questão, deve esperamos mitigá-la. Jetpack é novo garoto do firefox no bloco:. Uma espécie de super-greasemonkey