javascript - 我的 Greasemonkey 脚本在我的 PC 之外是否可见？

Question

如果这是一个愚蠢的问题，请原谅我。我不熟悉浏览器脚本的处理方式。

我正在编写一个简短的 Greasemonkey 脚本，该脚本涉及自动登录网站，这当然涉及插入我的密码。我原本打算只在脚本本身中包含我的密码，但我担心如果其他人可以看到我的脚本，他们也会看到我的密码。

所以我的问题是，除了我的浏览器和本地 PC 之外，任何人/任何事物都可以看到我的脚本吗？我不是在谈论任何其他人使用我的计算机，而是指任何人从网络上的其他地方“探测”或以其他方式检查我的浏览器。

如果是这样，我该如何存储我的密码，以便在不牺牲我的安全性的情况下自动插入密码？

Answer 1

名义上，没有。 Greasemonkey 脚本在您的 PC 外部并不比您硬盘上的任何其他未加密文件更可见。

也就是说，有几点需要牢记:

1. 改用密码实用程序。
   尽可能使用旨在处理和保护密码的可信实用程序。如前所述，LastPass很受欢迎。我也用过Secure Login效果不错。

   诚然，这些实用程序并非适用于所有情况，因为许多站点坚持使用自己的登录页面/系统变体。因此，我个人确实使用 Greasemonkey 脚本登录了一些低风险网站。

2. 切勿对敏感网站使用自动登录。如果您为银行、信用卡、重要的工作数据库等使用脚本。某天有人会坐在您的计算机前，他们会访问该网站(并且会自动登录)，坏事将会发生。相信它。
   现在，我知道有些人会(愚蠢地)忽略这一点。但是，如果您这样做，至少要让登录由热键或热键序列触发——永远不会是全自动的。

3. 当心 unsafeWindow。
   Greasemonkey 脚本曾经容易受到针对 unsafeWindow 的攻击.虽然我相信这个漏洞已被 Firefox 版本 4 关闭(旧的漏洞利用方法肯定不适用于现代 GM+FF)，但 unsafeWindow 漏洞利用将允许受感染的网络页面以查看部分脚本源代码并使用 GM_ 函数。

   因此，尤其是对于登录脚本，不要使用 unsafeWindow。

4. 切勿在任何源文件中包含真实密码。
   不要让窥探者或恶意软件轻易获取您的密码!几十年来，这一直是通往 pwn-dom 的一条简单途径，但人们仍然为此而焦头烂额——可能每天都是。

5. 不要以明文形式存储密码。并且不要使用“密码”和“用户名”作为变量名。这不会阻止一个坚定的坏人，但会减慢“诚实”的窥探和脚本小子的速度。

下面是我在自动登录的两个页面(都是论坛，低风险，低敏感度)使用的Greasemonkey脚本框架。

用户名和密码存储在浏览器首选项数据库中(通过 about:config 可见)，而不是脚本源。它们经过轻微加密以减慢窥探速度。

第一次运行脚本时，它会提示输入随 secret 钥以及用户名和密码。之后，可以通过 Greasemonkey 上下文菜单更改用户名和密码。

// ==UserScript==
// @name     _Autologin, sensitive info framework
// @include  http://YOUR_SERVER.COM/YOUR_PATH/*
// @require  http://crypto.stanford.edu/sjcl/sjcl.js
// @grant    GM_getValue
// @grant    GM_setValue
// @grant    GM_registerMenuCommand
// ==/UserScript==

var encKey  = GM_getValue ("encKey",  "");
var usr     = GM_getValue ("lognUsr", "");
var pword   = GM_getValue ("lognPwd", "");

if ( ! encKey) {
    encKey  = prompt (
        'Script key not set for ' + location.hostname + '. Please enter a random string:',
        ''
    );
    GM_setValue ("encKey", encKey);

    usr     = pword = "";   // New key makes prev stored values (if any) unable to decode.
}
usr         = decodeOrPrompt (usr,   "U-name", "lognUsr");
pword       = decodeOrPrompt (pword, "P-word", "lognPwd");


function decodeOrPrompt (targVar, userPrompt, setValVarName) {
    if (targVar) {
        targVar     = unStoreAndDecrypt (targVar);
    }
    else {
        targVar     = prompt (
            userPrompt + ' not set for ' + location.hostname + '. Please enter it now:',
            ''
        );
        GM_setValue (setValVarName, encryptAndStore (targVar) );
    }
    return targVar;
}

function encryptAndStore (clearText) {
    return  JSON.stringify (sjcl.encrypt (encKey, clearText) );
}

function unStoreAndDecrypt (jsonObj) {
    return  sjcl.decrypt (encKey, JSON.parse (jsonObj) );
}

//-- Add menu commands that will allow U and P to be changed.
GM_registerMenuCommand ("Change Username", changeUsername);
GM_registerMenuCommand ("Change Password", changePassword);

function changeUsername () {
    promptAndChangeStoredValue (usr,   "U-name", "lognUsr");
}

function changePassword () {
    promptAndChangeStoredValue (pword, "P-word", "lognPwd");
}

function promptAndChangeStoredValue (targVar, userPrompt, setValVarName) {
    targVar     = prompt (
        'Change ' + userPrompt + ' for ' + location.hostname + ':',
        targVar
    );
    GM_setValue (setValVarName, encryptAndStore (targVar) );
}

/*-- These next 3 lines are for debug / edification.  
Remove or comment out of the final script.
*/
console.log ("Script start.");
console.log ("usr: ",   usr);
console.log ("pword: ", pword);

// ADD YOUR CODE TO SET THE USERNAME AND PASSWORD ON THE LOGIN PAGE, HERE.