Fatal编程技术网
  • javascript/
  • Javascript Greasemonkey有多安全?

Javascript Greasemonkey有多安全?

javascript security

Javascript Greasemonkey有多安全?,javascript,security,greasemonkey,Javascript,Security,Greasemonkey,我从未真正使用过greasemonkey,但我正在考虑使用它。 考虑到GreaseMonkey允许你让互联网上的随机人改变你喜欢的网站的行为,它有多安全? 他们能偷我的密码吗?看看我的私人资料?做我不想做的事? Greasemonkey有多安全 谢谢考虑到GreaseMonkey允许你让互联网上的随机人改变你最喜欢的网站的行为,它有多安全 它尽可能的安全-但你不是很清楚,所以让我们从几个角度来看它: 网络开发者 Greasemonkey无法对您的网站做任何telnet用户无法对您的网站做的事情。

我从未真正使用过greasemonkey,但我正在考虑使用它。 考虑到GreaseMonkey允许你让互联网上的随机人改变你喜欢的网站的行为,它有多安全? 他们能偷我的密码吗?看看我的私人资料?做我不想做的事? Greasemonkey有多安全

谢谢

考虑到GreaseMonkey允许你让互联网上的随机人改变你最喜欢的网站的行为,它有多安全

它尽可能的安全-但你不是很清楚,所以让我们从几个角度来看它:

网络开发者 Greasemonkey无法对您的网站做任何telnet用户无法对您的网站做的事情。它使事情自动化了一点,但除此之外,如果greasemonkey是一个安全漏洞,那么你的网站设计是有缺陷的——而不是greasemonkey

已加载Greasemonkey的Internet用户 就像你在系统上加载的任何东西一样,greasemonkey也可以用来对付你。除非您信任源(在术语“源”的两种含义中),否则不要将脚本加载到系统中。这是相当有限和沙箱,但这并不意味着它是安全的,只是有人更难做一些邪恶的事情

没有油腻感的互联网用户 如果不加载greasemonkey或其任何脚本,则它不会以任何方式影响您。Greasemonkey不会更改您访问的网站,除非您已将其加载到系统中

Greasemonkey显影剂 除了XUL和javascript已经可以做的事情之外,您没有什么可以做的了,但是有可能会破坏您的mozilla和/或firefox配置文件,以及系统的其他部分。不太可能,故意或恶意地很难做到,但它不是一个防弹工具。负责任地发展

-Adam

谨慎使用时,Greasemonkey应能完全安全地安装和使用。虽然完全可以通过全权委托Javascript访问页面来进行各种形式的破坏,但Greasemonkey脚本仅限于特定的URL,并且不会在其标题中的URL模式未指定的站点上运行

这样说,一个基本的经验法则是考虑大多数具有GraceMeMKEY脚本的页面上的信息,这些脚本对这些脚本是可访问的。从技术上讲,玩诸如更换输入框(您可以在其中输入密码或个人信息)、读取页面上的任何数据以及将收集的数据发送给第三方等游戏是可行的。Greasemonkey脚本确实在浏览器中的一个有效沙箱中运行,并且不应该影响Firefox之外的计算机

也就是说,在某些方面,风险与安装任何其他小型开源软件的风险相当,甚至更低。由于Greasemonkey脚本是简单的开源Javascript文件,因此程序员可以相对轻松地查看内部内容,并确保它做到了它所说的。像往常一样,小心地运行陌生人的代码(任何形式),如果软件对您很重要,请花时间浏览源代码

不过,一般来说,Greasemonkey脚本应该是相当安全的。尝试使用大量评论和用户的脚本,因为社区可能会更彻底地审查和分析这些评论和用户

快乐的用户脚本

考虑到GreaseMonkey允许你让互联网上的随机人改变你喜欢的网站的行为

随机选择您已安装其用户脚本的用户。没有人能强迫你安装用户脚本

他们能偷我的密码吗

是的,用户脚本可以修改登录页面,从而将您的密码发送给攻击者。 不,它无法查看您当前的密码,或者对于未启用UserScript的网站

看看我的私人资料

是的,如果您的私人数据也可以在您已授予用户脚本访问权限的网站上查看

做我不想做的事

是的,一个用户脚本可以对一个网页做一些不需要的事情(你已经给了它访问权限)

GreaseMonkey有多安全

与您安装的单个用户脚本一样安全

是的,用户脚本可以窃取您的密码。这是底线。不要在工作或政府电脑上使用firefox插件或用户脚本,除非你的老板同意

与firefox插件不同,用户脚本没有经过正式审查。(Firefox“实验性”插件也未经审查)。您可以立即注册并将恶意脚本添加到userscripts.org

用户脚本非常不安全。跨站点脚本功能意味着,在不可见的情况下将您的详细信息/密码发送到一个邪恶的服务器并不困难。脚本可以为任何站点执行此操作。忽略试图忽略/最小化此问题的其他答案。有两个问题:邪恶的脚本编写者将他们的邪恶软件放在userscripts.org上,以及破坏greasemonkeys沙箱的脚本,因此容易被黑客网站上的恶意代码使用,否则这些恶意代码将被限制在同一个域内

对于邪恶的脚本作者,您可以检查脚本中发送详细信息的代码;没什么意思。至少可以通过编辑“include/exclude”子句将脚本限制在特定站点。这并不能解决问题,但至少不会发送您的银行凭证(除非您使用了相同的登录详细信息)。遗憾的是,没有一个“includexss”子句来限制xss请求,这将有效地解决这个问题,因为关键是,即使对于非开发人员也很容易检查。(Firefox插件“RequestPolicy”不会阻止用户脚本。)

不安全脚本:查找“unsafewindow”的任何用法。有。Greasemonkey在安装脚本时不会警告您它们的使用。使用这些调用并不意味着脚本不安全,只是脚本编写者最好擅长安全编程;它是