Greasemonkey スクリプトは安全ではありません

暮らしカテゴリーの変更を依頼記事元:

71 usersがブックマークコメント

Greasemonkey スクリプトは安全ではありません

■ Greasemonkey スクリプトは安全ではありません Webアプリケーションセキュリティフォーラムの奥さん... ■ Greasemonkey スクリプトは安全ではありません Webアプリケーションセキュリティフォーラムの奥さんと高木先生のバトルより。高木先生ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 Greasemonkey には超絶便利な GM_xmlhttpRequest があるので、どのウェブサイト上でスクリプトを動かそうが、あらゆるサイトにアクセスする事が可能です。この観点から考えると、クッキーが漏洩するどころの騒ぎではありませんし、スクリプトを有効にするドメインが限られていた所で大した意味はありません。例えば Google Search を便利にするようなスクリプトに、mixi のパスワードを任意の値に変更させるようなトロイを仕込む事も難しくないでしょう(実際に作って試しました*1)。もちろん対象サイト上に、XSS や CSRF の脆弱性がなく

mind ――有名.js の配布者としてはoriginationとversionの管理が大切になる、と。二次創作に因って事件(;損害)が起こったら誰が責任(;不法行為etc)をとることになるのだろう? ―― // ―― //

2008/01/29 リンク

suVene そりゃそうだ。どのクライアントソフトにしたって、スクリプトにしたって安全ではない。Greasemonkeyは手軽にインストールできるだけ、敷居が少々低いということか。ソース見えるだけマシという考えも。

security

2007/07/12 リンク

cubed-l 何でも出来るからな／高木さんと奥さんのやり取りばかりが話題になってるな。アプリのロギングの話とか興味深かったのに

2007/07/11 リンク

taninsw 特定のサイトにXXS脆弱性(例:http://www.akiyan.com/blog/archives/2007/02/greasemonkeyxss.html)やCSRF脆弱性(例:http://d.hatena.ne.jp/taninsw/20061021)を仕込むことが出来たり云々／GM_setValue,GM_getValueでドメイン間のフォームのデータ受け渡しとか以下略