Greasemonkey有多安全？

Question

我实际上从未使用过greasemonkey，但我正在考虑使用它。考虑到GreaseMonkey允许你在互联网上让随机的人改变你喜欢的网站的行为，它能有多安全呢？他们能窃取我的密码吗？看看我的私人数据？做我不想做的事？Greasemonkey有多安全？

谢谢

Answer 1

考虑到GreaseMonkey允许你在互联网上让随机的人改变你喜欢的网站的行为，它能有多安全呢？

它就像你允许的那样安全--但你不是很清楚，所以让我们从几个角度来看它：

Web开发人员

Greasemonkey不能对你的网站做任何远程登录的人已经不能对你的网站做的事情。它会让事情自动化一点，但除此之外，如果greasemonkey是一个安全漏洞，那么你的网站设计就是有缺陷的--而不是greasemonkey。

加载了Greasemonkey的Internet用户

就像你在系统上加载的任何东西一样，greasemonkey可以用来对付你。除非你信任源代码(“源”的两种含义)，否则不要将脚本加载到你的系统中。它是相当有限和沙箱的，但这并不意味着它是安全的，只是让人更难做一些邪恶的事情。

不使用Greasemonkey的Internet用户

如果你不加载greasemonkey或它的任何脚本，它不会以任何方式影响你。Greasemonkey不会改变你访问的网站，除非你已经将它加载到你的系统中。

Greasemonkey开发人员

除了XUL和javascript已经可以做的事情之外，你没有什么可以做的，但是有可能丢弃你的mozilla和/或firefox配置文件，以及你系统的其他部分。不太可能，很难故意或恶意地做，但它不是一个防弹的实用程序。负责任地发展。

-Adam

Answer 2

考虑到GreaseMonkey允许你让随机的人在互联网上改变你喜欢的网站的行为

随机选择那些你安装了UserScript的人。没有人可以强迫您安装UserScript。

他们能窃取我的密码吗？

是的，UserScript可以修改登录页面，以便将您的密码发送给攻击者。否，它无法查看您的当前密码，或未启用UserScript的网站

看我的私人数据？

可以，如果您的私人数据可在您也授予UserScript访问权限的网站上查看

做了我不想做的事？

是的，UserScript可以对网页(您已授予它访问权限)执行不需要的操作

GreaseMonkey有多安全？

与您已安装的单个UserScripts一样安全

Answer 3

在谨慎使用的时候，Greasemonkey的安装和使用应该是完全安全的。虽然可以通过任意的Javascript访问页面，但Greasemonkey脚本仅限于特定的URL，并且不会在未由其标头中的URL模式指定的站点上运行。

这就是说，一个基本的经验法则是考虑页面上的大多数信息，这些脚本可以访问的Greasemonkey脚本处于活动状态。玩替换输入框(你可以在其中输入密码或个人信息)，读取页面上的任何数据，并将收集的数据发送给第三方等游戏在技术上是可行的。Greasemonkey脚本确实可以在浏览器内的有效沙箱中运行，并且应该不会在Firefox之外影响您的计算机。

尽管如此，在某些方面，风险与安装任何其他小的开源软件的风险相当或更小。由于Greasemonkey脚本是简单的开源Javascript文件，因此程序员可以相对容易地深入了解并确保它做到了它所说的事情。像往常一样，小心运行陌生人的代码(任何形式)，如果软件对你很重要，花点时间浏览一下源代码。

不过，一般来说，Greasemonkey脚本应该是非常安全的。尝试使用有大量评论和用户的脚本，因为社区可能会对这些脚本进行更彻底的审查和分析。

用户脚本快乐！