Greasy Fork

Могут ли взломать через эти пользовательские скрипты ?

Собственно сам вопрос в описании. Возможен ли взлом через скрипты ? У меня стоит 3 скрипта : 1) RU AdList JS Fixes 2) RU AdList CSS Fixes 3) savefrom.net . Первые 2 для блокировки рекламы, т.к. без них многие сайты показывают рекламу, а третий использую для скачивания музыки из контакта и ютуба. Могут ли узнать все данные которые находятся в браузере? Пароли от сбербанка, пароли сохраненные в браузере и т.д. Заранее спасибо.

В RU AdList JS Fixes код для получения пользовательских паролей отсутствует. В RU AdList CSS Fixes его нет тем более, поскольку это вообще не скрипт, а пакет стилей. И использовать его нужно в менеджере стилей Stylus, а не в Tampermonkey, иначе он будет работать некорректно. Что у вас за скрипт savefrom.net - непонятно.

Add Как корректно установить RU AdList Fixes, описано здесь: https://forums.lanik.us/viewtopic.php?f=102&t=23650

Украсть пароли из самого браузера скриптами, на сколько я знаю, невозможно, но может быть возможен перехват их на формах конкретных сайтов при посещении оных вами и при условии, что вы будете выполнять вход на сайт через форму логина. Лично я не проверял и мне в моих скриптах совесть не позволит так поступить. Вот только это не означает, что у меня никто никогда не уведёт профиль на этом сайте. Или у авторов других скриптов, которые вы используете. Кто-то может и умудриться, а потому я крайне рекомендую добавить страницы банков, с которыми вы работаете, в исключения Tampermonkey, если они ещё не там. TM ведут свой список сайтов на которых запрещена работа всех скриптов, но он далеко не полон. В идеале стоит добавить в исключения и почту, но если вы пользуетесь Яндекс или Mail.ru, то вылезет реклама.

@"Lain inVerse" написал: Украсть пароли из самого браузера скриптами, на сколько я знаю, невозможно, но может быть возможен перехват их на формах конкретных сайтов при посещении оных вами и при условии, что вы будете выполнять вход на сайт через форму логина. Лично я не проверял и мне в моих скриптах совесть не позволит так поступить. Вот только это не означает, что у меня никто никогда не уведёт профиль на этом сайте. Или у авторов других скриптов, которые вы используете. Кто-то может и умудриться, а потому я крайне рекомендую добавить страницы банков, с которыми вы работаете, в исключения Tampermonkey, если они ещё не там. TM ведут свой список сайтов на которых запрещена работа всех скриптов, но он далеко не полон. В идеале стоит добавить в исключения и почту, но если вы пользуетесь Яндекс или Mail.ru, то вылезет реклама.

А как добавить сайт в исключения Tampermonkey не подскажите? И стоит ли это сделать не только с Tampermonkey, но и расширением Stylish ? У меня в Tampermonkey стоит RU AdList JS Fixes , а в Stylish стоит RU AdList CSS Fixes.

Если вы столкнулись с фактом того, что RU AdList JS Fixes где-то что-то ломает, то будет целесообразно поправить сам скрипт. Опишите пожалуйста проблему, в связи с которой вы хотите отключить скрипт.

@dimisa написал: Если вы столкнулись с фактом того, что RU AdList JS Fixes где-то что-то ломает, то будет целесообразно поправить сам скрипт. Опишите пожалуйста проблему, в связи с которой вы хотите отключить скрипт.

Да работает то вроде нормально. Я просто хочу отключить его на некоторых сайтах,вроде сбербанка, почт, гос услуг и т.д. как мне посоветовали выше. Потому что существует вероятность слива паролей через скрипт. Поэтому я и хочу его отключить на некоторых важный сайтах.

Чтобы в Tampermonkey создать для любого скрипта постоянное исключение, нужно находясь на целевом сайте кликнуть по иконке расширения, далее "+" справа от названия скрипта, после чего в появившемся подменю выбрать пункт "Добавить в исключения".

@dimisa написал: Чтобы в Tampermonkey создать для любого скрипта постоянное исключение, нужно находясь на целевом сайте кликнуть по иконке расширения, далее "+" справа от названия скрипта, после чего в появившемся подменю выбрать пункт "Добавить в исключения".

А как в Stylish сайты в исключение добавить?

А Stylish зачем? Это расширение в принципе не умеет работать с запросами, скриптами и пр. - это чистая косметика.

Исключения лучше создавать не на уровне конкретных скриптов, а всего Tampermonkey. Зайдите в панель управления (в меню расширения, Dashboard), Настройки (вкладка Settings), поменяйте режим с Новичка (Novice) на любой другой (если настраивали способ запуска скриптов для этого скрипта, то у вас уже должен быть режим эксперта), покрутите страницу до раздела Безопасность (Security) и внесите необходимые страницы в чёрный список (вторая таблица). Там можно применять * для любого количества любых символов, .tld для случаев когда один домен находится в нескольких регионах (yandex.ru, yandex.kz, yandex.com => yandex.tld) или регулярные выражения. Там уже будет несколько правил для примера. Внесите необходимые вам сайты туда и не важно сколько и каких ещё скриптов вы себе поставите - ни один там не будет работать.

Добавлять же исключения в Stylus практического смысла нет (не уверен, что они там вообще есть). Очень-очень-очень теоретически через стиль можно попробовать украсть пароль (очень-очень большой стиль, тормозящий весь браузер и работающий на одной странице), но хоть сколько-то успешной такая атака может быть только если она будет нацелена конкретно на вас лично. А если кто-то способный на такое задастся целью украсть лично ваш пароль, то он быстрее найдёт что-то проще и эффективнее для этого.

Вообще, лучшая рекомендация по безопасности это использовать отдельный браузер для посещения критически важных сайтов (банки и подобное) и пользоваться им только и исключительно для этого. Правда оплачивать что-либо в интернет-магазинах будет проблематично если только не открыть магазин в нём же.