Quel est le niveau de sécurité de Greasemonkey?
Je n'ai jamais réellement utilisé greasemonkey, mais j'envisage de l'utiliser.
Considérant que GreaseMonkey permet de laisser des gens au hasard sur Internet, de modifier le comportement de vos sites favoris, comment la sécurité peut-il être?
Peuvent-ils voler mes mots de passe? Regardez mes données privées? Faire des choses que je ne voulais pas le faire?
Comment la sécurité est Greasemonkey?
Grâce
source d'informationauteur Nathan H
Vous devez vous connecter pour publier un commentaire.
Considérant que GreaseMonkey permet de laisser des gens au hasard sur Internet, de modifier le comportement de vos sites favoris, comment la sécurité peut-il être?
C'est aussi sûr que vous lui permettent d'être - mais vous n'êtes pas très clair, donc, nous allons regarder d'un peu de perspectives:
Développeur Web
Greasemonkey ne peut rien faire pour votre site web qu'une personne avec telnet peut pas déjà à votre site web. Il automatise les choses un peu, mais d'autres que si greasemonkey est un trou de sécurité, alors votre site web, la conception est erronée - pas greasemonkey.
Internet de l'utilisateur avec Greasemonkey chargé
Comme quelque chose que vous chargez sur votre système, greasemonkey peut être utilisé contre vous. Ne pas charger des scripts sur votre système, sauf si vous faites confiance à la source (dans les deux acceptions du terme "source"). Il est assez limitée et bac à sable, mais cela ne signifie pas qu'il est sécuritaire, mais simplement qu'il est plus difficile pour quelqu'un de faire quelque chose d'abominable.
Internet de l'utilisateur sans Greasemonkey
Si vous ne chargez pas greasemonkey ou l'un de ses scripts, il ne peut pas vous affecter en aucune façon. Greasemonkey ne modifie pas les sites web que vous visitez, sauf si vous avez chargé sur votre système.
Greasemonkey développeur
Il n'y a pas beaucoup que vous pouvez faire au-delà de ce qui peut déjà être fait avec XUL et javascript, mais il est possible de la corbeille de votre mozilla et/ou firefox profil, et éventuellement d'autres parties de votre système. Rare, difficile à faire sur le but ou à des fins malveillantes, mais ce n'est pas un pare-balles de l'utilitaire. Développer de façon responsable.
-Adam
Aléatoire de personnes dont le Script que vous avez installés. Personne ne peut vous obliger à installer un Script.
Oui, un Script peut modifier une page de connexion de sorte qu'il a envoyé votre mot de passe pour un pirate.
Non, il ne peut pas regarder vos mots de passe, ou pour les sites web, le Script n'est pas activée pour
Oui, si vos données personnelles sont visibles sur un site que vous avez donné un Script d'accès trop
Oui, un Script peut faire des choses à une page web (que vous avez donné accès) qui sont indésirables
Aussi sûr que la personne UserScripts vous avez installé
Lorsqu'il est utilisé avec discrétion, Greasemonkey doit être parfaitement sûr à installer et à utiliser. Alors qu'il est certainement possible de faire toutes sortes de bêtises avec carte-blanche Javascript accès à des pages, scripts Greasemonkey sont limités à des Url spécifiques, et ne fonctionnera pas sur des sites qui ne sont pas spécifiés par l'URL des modèles dans leurs en-têtes.
Cela étant dit, une règle de base est de considérer la plupart des informations sur des pages avec des scripts Greasemonkey active pour être accessible à ces scripts. Il est techniquement possible de jouer à des jeux comme le remplacement des zones de saisie (dans laquelle vous pouvez entrer des mots de passe ou des informations personnelles), lire les données sur les pages, et d'envoyer des données collectées à un tiers. Les scripts Greasemonkey faire exécuter efficacement sandbox dans le navigateur, et ne devrait pas être en mesure de nuire à votre ordinateur à l'extérieur de Firefox.
Cela étant dit, à certains égards, le risque est comparable ou inférieure à celle de l'installation de tout autre petits morceaux de logiciel open source. Depuis les scripts Greasemonkey sont simples open source, les fichiers Javascript, il est relativement facile pour un programmeur de prendre un coup d'oeil à l'intérieur et assurez-vous qu'il fait ce qu'il dit il le fait. Comme toujours, exécutez les étrangers " code (de toute forme) avec soin, et de prendre le temps de parcourir le code source si le logiciel est important pour vous.
En général cependant, les scripts Greasemonkey devrait être assez fort. Essayez d'utiliser des scripts avec un grand nombre de commentaires et des utilisateurs, car ceux-ci sont susceptibles d'être plus soigneusement examinées et analysées par la communauté.
Heureux userscripting!
Oui, userscripts peut voler vos mots de passe. C'est la ligne de fond. Ne pas utiliser des addons firefox ou userscripts sur le travail ou les ordinateurs du gouvernement sans en parler à votre patron.
Contrairement à firefox addons userscripts ne sont pas officiellement approuvés. (Firefox "expérimental" addons ne sont pas non vérifiées). Vous pouvez vous enregistrer et ajouter un script malveillant à userscripts.org dans un instant.
Userscripts sont très dangereuses. Le cross-site scripting " signifie qu'il n'est aucune difficulté à tous pour envoyer vos données et mots de passe pour un mal de serveur tout à fait invisible. Et le script peut le faire pour n'importe quel site. Ignorer les autres réponses qui tentent de masquer/minimiser ce problème. Il y a deux problèmes: mal les scénaristes de mettre leurs mauvaises marchandises sur userscripts.org et les scripts qui cassent greasemonkeys' bac à sable et sont donc vulnérables à être utilisé par du code malveillant sur un site piraté qui serait par ailleurs limité à même domaine.
Dans le cas de mauvais auteurs de script, vous pouvez examiner les scripts de code qui envoie vos coordonnées; pas beaucoup de plaisir. À tout le moins, vous pouvez restreindre le script de sites, en particulier, par l'édition de la "inclure/exclure" de la clause. Cela ne résout pas le problème, mais au moins il ne sera pas l'envoi de vos justificatifs bancaires (sauf si vous avez utilisé les mêmes informations de connexion). C'est dommage, il n'y a pas un 'includexss clause de limiter les attaques de type xss des demandes, afin de résoudre efficacement le problème depuis, surtout, il serait facile de vérifier, même pour les non-développeurs. (l'addon Firefox "requestpolicy n'" ne bloque pas les userscripts.)
Dangereux scripts: regardez pour toute utilisation de 'unsafewindow'. Il y a d'autres risqué appels. Greasemonkey ne vous avertit de leur utilisation lorsque le script est installé. L'utilisation de ces appels ne signifie pas que le script est dangereux, c'est juste que le scénariste avait mieux être bon en programmation sécurisée; il est difficile et la plupart ne le sont pas. - Je éviter d'écrire des scripts qui aurait besoin de ces appels. Il y a de populaire, haute-télécharger des scripts que l'utilisation de ces appels.
Firefox plugins/addons à Mozilla.org ont des problèmes similaires à userscripts mais au moins ils sont officiellement approuvés. L'examen/examen comprend l'importance de code d'examen. Néanmoins, il existe des astuces pour éviter la détection de mal de code sans avoir besoin de l'obscurcissement. Aussi l'addon peut être hébergé sur un (inconnu à tout le monde) piraté le site. Malheureusement mozilla aussi les listes 'expérimentale' addons qui ne sont pas approuvés et avez eu un code malveillant. Vous obtenez un message d'avertissement mais combien connaissent la signification réelle. Je n'ai pas jusqu'à ce que j'ai pris connaissance de la sécurité. Je n'ai jamais installer de tels addons.
Userscripts ne sont pas officiellement approuvés. À moins qu'un script a beaucoup de installe, j'examine le code. Même si un haut-script d'installation pourrait avoir encore le scénariste du compte piraté et script modifié. Même si j'examine d'un script, l'utilisation d'anti-détection de la programmation des moyens, je ne peut pas voir le mal. Peut-être le meilleur pari est d'examiner les demandes sortantes avec "Tamper Data" addon firefox, mais un habile script retard ou peu envoyer des données. C'est une tactique de guerre, malheureusement. Ironiquement seulement microsoft du certificat en fonction des objets activeX vraiment l'approche d'une solution réelle du développeur de traçabilité (mais ne va pas assez loin).
Il est vrai que d'un addon firefox donne un mal-doer une plus grande exposition aux victimes potentielles, depuis firefox addons sont généralement plus populaire et semblent plus susceptibles d'être ciblées, mais firefox processus de vérification rend userscripts plus attrayant pour les mal-doer, car ils ne sont pas vérifiées. Sans doute un faible télécharger le script peut toujours obtenir un criminel beaucoup de précieux connexions jusqu'à ce qu'il est repéré, tout en donnant l'avantage de la relative obscurité et faible pour la collectivité le taux de désabonnement des userscripts, ainsi qu'une faible chance de quiconque code de la revoir. Vous ne pouvez pas dépendre des addons firefox "popularité" pour vous protéger contre le mal userscripts.
Comme un non-développeur vous êtes dépendant des autres utilisateurs spotting mal scripts/addons. Quelle est la probabilité que? Qui sait. La vérité c'est que c'est une merde modèle de sécurité.
En fin de compte j'utilise firefox pour la navigation générale et Google Chrome (sans greasemonkey/plugins) pour l'administration des fins. Google Chrome est également utilisable dans les profils de fonction (totalement distincte de la navigation des espaces) qui est effectivement comme l'utilisation de différents navigateurs. J'ai mis en place trois profils google chrome pour me faire encore plus fort: e-mail/general-administration, de la banque, ebay/paypal. Firefox est inutilisable profils (dans mon expérience), mais je préfère firefox comme navigateur qui est pourquoi j'ai toujours l'utiliser pour la critique de la navigation. Profils aussi protéger contre l'ancienne trous de sécurité du navigateur et les sites piratés, au moins en limiter la portée. Mais assurez-vous d'utiliser des mots de passe différents. Une autre approche est propre bootable ubuntu installer sur une clé USB pour une critique de l'admin (voir ici http://www.geekconnection.org/remastersys/).
Jetpacks' affectation spéciale modèle, plutôt comme le produit trust network, qui souligne la gravité de ce problème, devrait, espérons-le à l'atténuer. Jetpack est firefox nouvel enfant sur le bloc: une sorte de super greasemonkey.