javascript - sirve - scripts tamper monkey

Cuando se usa con discreción, Greasemonkey debe ser perfectamente seguro de instalar y usar. Si bien es definitivamente posible hacer todo tipo de travesuras con el acceso de JavaScript a las páginas en carte blanche, los scripts de Greasemonkey están restringidos a URL específicas, y no se ejecutarán en sitios que no estén especificados por los patrones de URL en sus encabezados.

Dicho esto, una regla básica es considerar que la mayoría de la información en las páginas con scripts de Greasemonkey está activa para que sea accesible para esos scripts. Es técnicamente posible jugar juegos como reemplazar cuadros de entrada (en los que puede ingresar contraseñas o información personal), leer cualquier dato en las páginas y enviar datos recopilados a un tercero. Los scripts de Greasemonkey se ejecutan en un entorno limitado efectivo dentro del navegador, y no deberían poder afectar su computadora fuera de Firefox.

Dicho esto, en algunos aspectos, el riesgo es comparable o inferior al de instalar cualquier otra pequeña pieza de software de código abierto. Como los scripts de Greasemonkey son simples archivos de código abierto de Javascript, es relativamente fácil para un programador echar un vistazo al interior y asegurarse de que hace lo que dice que hace. Como siempre, ejecute el código de extraños (de cualquier forma) con cuidado, y tómese el tiempo para leer el código fuente si el software es importante para usted.

En general, sin embargo, los scripts de Greasemonkey deberían ser bastante seguros. Intente utilizar scripts con una gran cantidad de revisiones y usuarios, ya que es probable que la comunidad los examine y analice más a fondo.

Happy userscripting!

Teniendo en cuenta que GreaseMonkey le permite permitir que personas aleatorias en Internet cambien el comportamiento de sus sitios web favoritos, ¿qué tan seguro puede ser?

Es tan seguro como usted lo permita, pero no está muy claro, así que veámoslo desde algunas perspectivas:

Desarrollador web

Greasemonkey no puede hacer nada en su sitio web que una persona con telnet no pueda hacer en su sitio web. Automatiza las cosas un poco, pero aparte de eso si greasemonkey es un agujero de seguridad, entonces el diseño de su sitio web es defectuoso, no greasemonkey.

Usuario de Internet con Greasemonkey cargado

Al igual que cualquier otra cosa que cargues en tu sistema, greasemonkey puede usarse en tu contra. No cargue scripts en su sistema a menos que confíe en la fuente (en ambos sentidos del término ''fuente''). Es bastante limitado y está aislado, pero eso no significa que sea seguro, simplemente que es más difícil para alguien hacer algo nefasto.

Usuario de Internet sin Greasemonkey

Si no carga greasemonkey o cualquiera de sus scripts, no puede afectarlo de ninguna manera. Greasemonkey no altera los sitios web que visita a menos que lo haya cargado en su sistema.

Desarrollador de Greasemonkey

No hay mucho que pueda hacer más allá de lo que ya se puede hacer con XUL y javascript, pero es posible destruir su perfil de Mozilla y / o Firefox, y posiblemente otras partes de su sistema. Poco probable, difícil de hacer a propósito o maliciosamente, pero no es una utilidad a prueba de balas. Desarrollar responsablemente.

-Adán

Sí, los usuarios pueden robar sus contraseñas. Esa es la línea de fondo. No use complementos de Firefox o listas de usuarios en computadoras del trabajo o del gobierno sin consultar a sus jefes.

A diferencia de los complementos de Firefox, los archivos de usuario no son examinados formalmente. (Los complementos ''experimentales'' de Firefox tampoco son revisados). Puede registrarse y agregar un script malicioso a userscripts.org en un momento.

Los usuarios son muy inseguros. La capacidad de creación de scripts entre sitios significa que no es ninguna dificultad enviar tus datos / contraseñas a un servidor malicioso de forma absolutamente invisible. Y la secuencia de comandos puede hacerlo para cualquier sitio. Ignore las otras respuestas que intentan descartar / minimizar este problema. Hay dos problemas: los escritores de guiones malvados ponen sus malvadas mercancías en userscripts.org y guiones que rompen la caja de arena de greasemonkeys y por lo tanto son vulnerables a ser utilizados por códigos maliciosos en un sitio pirateado que de otro modo estaría restringido al mismo dominio.

En el caso de los autores de guiones malvados, puedes examinar los guiones para ver el código que envía tus detalles; no es muy divertido Como mínimo, podría restringir el script a sitios específicos editando la cláusula ''incluir / excluir''. Eso no resuelve el problema, pero al menos no enviará sus credenciales bancarias (a menos que haya utilizado los mismos datos de inicio de sesión). Es una lástima que no exista una cláusula ''includexss'' para restringir las solicitudes xss, lo que resolvería efectivamente el problema ya que, de manera crucial, sería fácil de verificar incluso para los no desarrolladores. (El complemento de Firefox "RequestPolicy" no bloquea los archivos de usuario).

Guiones inseguros: busque cualquier uso de ''ventanas inseguras''. Hay otras llamadas de riesgo . Greasemonkey no le advierte sobre su uso cuando se instala el script. El uso de estas llamadas no significa que el script sea inseguro, solo que el guionista sea mejor para la programación segura; es difícil y la mayoría no. Evito escribir guiones que necesitarían estas llamadas. Hay scripts populares de alta descarga que utilizan estas llamadas.

Los complementos / complementos de Firefox en Mozilla.org tienen problemas similares a los de los usuarios, pero al menos están verificados formalmente. La revisión / revisión incluye la importantísima revisión del código. Sin embargo, existen técnicas inteligentes para evitar la detección del código maligno sin la necesidad de ofuscación. Además, el complemento puede estar alojado en un sitio pirateado (desconocido para cualquier persona). Desafortunadamente, Mozilla también enumera los complementos "experimentales" que no están verificados y que tienen código malicioso . Recibes una advertencia, pero cuántos conocen el significado real. No lo hice hasta que recogí el conocimiento de seguridad. Nunca instalo tales complementos.

Los usuarios no están formalmente investigados. A menos que un script tenga muchas instalaciones, examino el código. Aun así, un script de alta instalación podría haber tenido la cuenta del script-writer secuestrada y el script modificado. Incluso si examino un guión, el uso de programación antidetección significa que no puedo ver el mal. Quizás la mejor opción es examinar las solicitudes salientes con el complemento de Firefox "Tamper Data", pero una secuencia de comandos inteligente retrasará o enviará datos con poca frecuencia. Es una guerra táctica, desafortunadamente. Irónicamente, solo los objetos ActiveX basados ​​en certificados de microsoft realmente se acercan a una solución real en la trazabilidad del desarrollador (pero no fueron lo suficientemente lejos).

Es cierto que un complemento de Firefox le da a un malhechor una mayor exposición a víctimas potenciales, ya que los complementos de Firefox son generalmente más populares y parecen más propensos a ser dirigidos, pero el proceso de investigación de Firefox hace que los usuarios sean más atractivos para el malhechor, ya que son no investigado Podría decirse que un usuario de baja descarga aún puede obtener un criminal de inicios de sesión valiosos hasta que se detecta, mientras que también da el beneficio de la relativa oscuridad y poca rotación de usuarios de las comunidades, así como una baja probabilidad de que alguien revise el código. No puedes depender de la popularidad de los complementos de Firefox para protegerte de los malvados archivos de usuario.

Como no desarrollador, dependes de que otros usuarios detecten scripts / complementos malignos. ¿Qué tan probable es eso? Quién sabe. La verdad es que es un modelo de seguridad basura.

En definitiva, utilizo Firefox para la navegación general y Google Chrome (sin greasemonkey / plugins) para fines administrativos. Chrome también tiene una característica de ''perfiles'' utilizables (espacios de navegación totalmente separados) que es efectivamente como usar diferentes navegadores. He configurado tres perfiles de Chrome para hacerme aún más seguro: correo electrónico / general-admin, banca, ebay / paypal. Firefox tiene perfiles inutilizables (en mi experiencia) pero prefiero Firefox como navegador y por eso sigo utilizándolo para una navegación no crítica. Los perfiles también protegen contra agujeros de seguridad del navegador y sitios pirateados, al menos limitando su alcance. Pero asegúrate de usar contraseñas diferentes. Otro enfoque es una instalación de ubuntu de arranque limpia en una memoria USB para el administrador crítico (ver aquí http://www.geekconnection.org/remastersys/ ).

El modelo de confianza especial de Jetpacks, más bien como la red de confianza de PGP, que subraya la gravedad de este problema, debería mitigarlo. Jetpack es el nuevo chico de Firefox en la cuadra: una especie de super greasemonkey.

Teniendo en cuenta que GreaseMonkey te permite permitir que personas al azar en Internet cambien el comportamiento de tus sitios web favoritos

Personas aleatorias cuyo UserScript has instalado. Nadie puede obligarte a instalar un UserScript.

¿Pueden robar mis contraseñas?

Sí, un UserScript podría modificar una página de inicio de sesión para que envíe su contraseña a un atacante. No, no puede ver sus contraseñas actuales, o para sitios web en los que el UserScript no está habilitado

Mira mis datos privados?

Sí, si sus datos privados se pueden ver en un sitio web al que también le ha otorgado un acceso de UserScript

Hacer cosas que no quería hacer?

Sí, un UserScript podría hacer cosas en una página web (a la que le ha dado acceso) que no son deseadas

¿Qué tan seguro es GreaseMonkey?

Tan seguro como los UserScripts individuales que tiene instalados