javascript - Greasemonkey の安全性は?

Question

私はグリースモンキーを実際に使用したことはありませんが、使用を検討していました。GreaseMonkey を使用すると、インターネット上のランダムな人々がお気に入りの Web サイトの動作を変更できるようになることを考えると、どれほど安全でしょうか? 彼らは私のパスワードを盗むことができますか? 私のプライベートデータを見て？私がやりたくないことをしますか？Greasemonkey の安全性は?

ありがとう

Answer 1

GreaseMonkey を使用すると、インターネット上のランダムな人々がお気に入りの Web サイトの動作を変更できるようになることを考えると、どれほど安全でしょうか?

あなたが許す限り安全ですが、あなたはあまり明確ではないので、いくつかの観点から見てみましょう。

ウェブ開発者

Greasemonkey は、telnet を使用しているユーザーが Web サイトに対して実行できないことを、Web サイトに対して実行することはできません。それは物事を少し自動化しますが、それ以外は、グリースモンキーがセキュリティホールである場合、Web サイトの設計に欠陥があります-グリースモンキーではありません.

Greasemonkey をロードしたインターネット ユーザー

システムにロードする他のものと同様に、グリースモンキーはあなたに対して使用できます。ソースを信頼しない限り、システムにスクリプトをロードしないでください (「ソース」という用語の両方の意味で)。かなり限定的でサンドボックス化されていますが、だからと言って安全というわけではなく、誰かが悪意のあることをするのが難しくなっているだけです。

Greasemonkey を持たないインターネット ユーザー

グリースモンキーまたはそのスクリプトをロードしなくても、何の影響もありません。システムにロードされていない限り、Greasemonkey はアクセスする Web サイトを変更しません。

Greasemonkey 開発者

XUL や JavaScript ですでにできること以上にできることはあまりありませんが、mozilla や firefox のプロファイル、そしてシステムの他の部分を破壊することは可能です。意図的または悪意を持って実行することはほとんどありませんが、完全なユーティリティではありません。 責任を持って開発します。

-アダム

Answer 2

GreaseMonkey を使用すると、インターネット上のランダムな人々にお気に入りの Web サイトの動作を変更させることができます。

UserScript をインストールしたランダムな人々。UserScript のインストールを強制することはできません。

彼らは私のパスワードを盗むことができますか?

はい、UserScript はログイン ページを変更して、パスワードを攻撃者に送信する可能性があります。いいえ、現在のパスワードや、UserScript が有効になっていない Web サイトを調べることはできません

私のプライベートデータを見て？

はい、UserScript アクセスも許可した Web サイトで個人データを表示できる場合

私がやりたくないことをしますか？

はい、UserScript は Web ページ (アクセスを許可したもの) に対して望ましくない操作を行うことができます

GreaseMonkey の安全性は?

インストールした個々の UserScript と同じくらい安全

Answer 3

はい、userscriptsはあなたのパスワードを盗むことができます。それが最終的な収益です。上司に言及せずに、職場や政府のコンピューターでFirefoxアドオンやユーザースクリプトを使用しないでください。

Firefoxアドオンとは異なり、ユーザースクリプトは正式に精査されていません。（Firefoxの「実験的」アドオンも精査されていません）。悪意のあるスクリプトをすぐにuserscripts.orgに登録して追加できます。

ユーザースクリプトは非常に安全ではありません。クロスサイトスクリプティング機能は、あなたの詳細/パスワードを邪悪なサーバーに目に見えない形で送信することはまったく困難ではないことを意味します。そして、スクリプトはどのサイトでもそれを行うことができます。この問題を却下/最小化しようとする他の回答は無視してください。2つの問題があります。悪意のあるスクリプト作成者が悪意のある製品をuserscripts.orgに配置することと、グリースモンキーのサンドボックスを壊すスクリプトであるため、同じドメインに制限されるハッキングされたサイトで悪意のあるコードによって使用される可能性があります。

邪悪なスクリプト作成者の場合、詳細を送信するコードのスクリプトを調べることができます。あまり面白くない。少なくとも、「include / exclude」句を編集することで、スクリプトを特定のサイトに制限できます。これで問題は解決しませんが、少なくとも銀行の資格情報は送信されません（同じログイン情報を使用した場合を除く）。xssリクエストを制限する「includexss」句がないのは残念です。これは、開発者以外の人でも簡単にチェックできるため、問題を効果的に解決できます。（Firefoxアドオン「RequestPolicy」はユーザースクリプトをブロックしません。）

安全でないスクリプト：「unsafewindow」の使用を探します。他にも危険な電話があります。スクリプトがインストールされている場合、Greasemonkeyはそれらの使用について警告しません。これらの呼び出しの使用は、スクリプトが安全でないことを意味するのではなく、スクリプト作成者が安全なプログラミングに長けていることを意味します。それは難しく、ほとんどはそうではありません。これらの呼び出しを必要とするスクリプトを書くことは避けます。これらの呼び出しを使用する人気のある高ダウンロードスクリプトがあります。

Mozilla.orgのFirefoxプラグイン/アドオンには、ユーザースクリプトと同様の問題がありますが、少なくとも正式に精査されています。審査/レビューには、非常に重要なコードレビューが含まれます。それにもかかわらず、難読化を必要とせずに悪意のあるコードの検出を回避するための巧妙な手法があります。また、アドオンは（誰にも知られていない）ハッキングされたサイトでホストされている可能性があります。残念ながら、mozillaには、精査されておらず、悪意のあるコードが含まれている「実験的な」アドオンもリストされています。警告が表示されますが、本当の意味を知っている人はどれくらいいますか。私はセキュリティの知識を身につけるまでそうしませんでした。私はそのようなアドオンをインストールしません。

ユーザースクリプトは正式に精査されていません。スクリプトに多くのインストールがない限り、コードを調べます。それでも、高インストールのスクリプトでは、スクリプト作成者のアカウントが乗っ取られ、スクリプトが変更されている可能性があります。スクリプトを調べても、検出防止プログラミングを使用すると、悪が見えない場合があります。おそらく最善の策は、「データの改ざん」Firefoxアドオンを使用して送信要求を調べることですが、巧妙なスクリプトを使用すると、データが遅延したり、まれに送信されたりします。残念ながら、これは戦術的な戦争です。皮肉なことに、Microsoftの証明書ベースのActiveXオブジェクトだけが、開発者のトレーサビリティの実際のソリューションに実際に近づいています（しかし、十分に進んでいませんでした）。

Firefoxアドオンは一般的に人気があり、標的にされる可能性が高いため、Firefoxアドオンは悪意のある人に潜在的な被害者への露出を増やすことは事実ですが、Firefoxの審査プロセスにより、悪意のある人にとってユーザースクリプトがより魅力的になります。精査されていません。おそらく、ダウンロード量の少ないユーザースクリプトは、発見されるまで犯罪者に多くの貴重なログインを取得する可能性がありますが、ユーザースクリプトの相対的なあいまいさとコミュニティの解約率が低く、コードレビューの可能性が低いという利点もあります。邪悪なユーザースクリプトからあなたを守るために、Firefoxアドオンの人気に頼ることはできません。

非開発者として、あなたは他のユーザーが邪悪なスクリプト/アドオンを見つけることに依存しています。それはどのくらいありそうですか？知るか。真実はそれががらくたセキュリティモデルだということです。

最終的には、一般的なブラウジングにはFirefoxを使用し、管理目的にはGoogle Chrome（グリースモンキー/プラグインなし）を使用します。Chromeには、さまざまなブラウザを使用するのと同じように、使用可能な「プロファイル」機能（完全に個別のブラウジングスペース）もあります。私は自分自身をさらに安全にするために3つのクロムプロファイルを設定しました：email / general-admin、banking、ebay/paypal。Firefoxには（私の経験では）使用できないプロファイルがありますが、私はブラウザとしてFirefoxを好みます。そのため、重要でないブラウジングにFirefoxを使用しています。プロファイルは、昔ながらのブラウザのセキュリティホールやハッキングされたサイトからも保護し、少なくともその範囲を制限します。ただし、必ず別のパスワードを使用してください。もう1つのアプローチは、重要な管理者向けのUSBスティックへのクリーンな起動可能なubuntuインストールです（http://www.geekconnection.org/remastersys/を参照）。

この問題の深刻さを強調するPGP信頼ネットワークのようなJetpacksの特別な信頼モデルは、うまくいけばそれを軽減するはずです。Jetpackは、Firefoxの新しい子供であり、一種のスーパーグリスモンキーです。

Answer 4

慎重に使用する場合、Greasemonkey のインストールと使用は完全に安全です。ページへの自由奔放な Javascript アクセスであらゆる種類のいたずらを行うことは間違いなく可能ですが、Greasemonkey スクリプトは特定の URL に制限されており、ヘッダーの URL パターンで指定されていないサイトでは実行されません。

そうは言っても、基本的な経験則は、Greasemonkey スクリプトがアクティブになっているページのほとんどの情報は、それらのスクリプトからアクセスできると見なすことです。入力ボックス (パスワードや個人情報を入力する可能性があります) を置き換えるなどのゲームをプレイしたり、ページ上のデータを読み取ったり、収集したデータを第三者に送信したりすることは、技術的に実行可能です。Greasemonkey スクリプトはブラウザー内の効果的なサンドボックスで実行され、Firefox 以外のコンピューターに影響を与えることはできません。

そうは言っても、いくつかの点で、リスクは他の小さなオープンソース ソフトウェアをインストールする場合と同等かそれ以下です。Greasemonkey スクリプトは単純なオープン ソースの Javascript ファイルであるため、プログラマーが内部を調べて、記述どおりに動作することを確認するのは比較的簡単です。いつものように、見知らぬ人のコード (形式を問わず) は注意して実行し、そのソフトウェアがあなたにとって重要である場合は、時間をかけてソース コードに目を通すようにしてください。

ただし、一般的に、Greasemonkey スクリプトはかなり安全なはずです。多数のレビューとユーザーを含むスクリプトを使用するようにしてください。これらはコミュニティによってより徹底的に精査および分析される可能性が高いためです。

幸せなユーザースクリプティング！