Tampermonkey 的火爆和便利带来的问题也不少

2021-04-29 18:00:57 +08:00
 HFX3389

对于大部分人来说,很少人能对自己安装的用户脚本进行代码审查。

我在 greasyfork 上看到有不少人劫持某宝、某猫、某东进行佣金返利的脚本,除非看一遍代码或者看一遍脚本开头的脚本元属性值不然很少人会意识到这个问题

对于一些在 greasyfork 上安装了带有恶意行为的脚本,如果脚本被 greasyfork 官方删除了,Tampermonkey 会不会将脚本关闭使用或者删除

因为我还没法测试,所以这条是存疑的,如果即使带有恶意行为的脚本被官方删除但本地的 Tampermonkey 不会进行任何操作岂不是对用户来说是灾难,让已经在运行的带有恶意行为的脚本永远运行下去(除非用户主动关闭或删除)

一次编写,到处可见

我在 greasyfork 上看到有很多的代码都是写好的脚本 A,然后在脚本 B 甚至脚本 CDEFG 都能看到一模一样的代码,作者、脚本名、更新日期都不一样,但脚本内容基本一致,虽然 greasyfork 官方提供未授权的举报功能,但管理员太少和只能靠用户举报导致盗脚本十分泛滥

提供脚本安装的网站管理员太少,导致很多有问题的脚本和用户没办法得到及时的处理

这毕竟是义务的工作,有问题的脚本太多,而管理员又太少,看了下 greasyfork 的管理日志,活跃的管理员只有两个,估计还是义务劳动,只能利用空闲的时间,这又导致了许多有问题的脚本和用户没办法得到及时的处理。

脚本作者滥用“脚本排序”功能

很多人安装脚本都会使用“脚本排序”功能来选择作者最近更新的脚本,这样脚本的可利用率会大大增加。

但我在 greasyfork 上发现,有这么几个脚本的更新日志是仅仅更新一个脚本描述甚至仅仅更新一串注释,注释内容为不定长度的#号,只要在“脚本应用的网站”以“更新日期”排序时不居于首位,便直接更新一串注释,加一个#号或者减一个#号,使脚本在“更新日期”排序永远居于首位以扩大脚本的安装量。

我观察了一个脚本连续 140 多个历史版本都是这么修改的....而且貌似效果很不错,脚本每日安装量几千,总安装量几十万,真是个宽广的流量池啊,几十万个用户如果都能变现或者导流到公众号之类的地方可值不少钱

脚本借尸还魂的现象太多了

内容都不怎么变,有恶意行为的依旧有,就是改个名字,换个作者,重新注册个号,直接重生

2911 次点击
所在节点    问与答
11 条回复
rv54ntjwfm3ug8
2021-04-29 18:04:07 +08:00
Tampermonkey 大部分脚本没有混淆和压缩,非常好审查。每次脚本更新都会弹出脚本来给我审查,感觉比 Chrome 扩展安全太多了。看不懂的脚本直接不用就行。
HFX3389
2021-04-29 18:07:50 +08:00
@theklf4 #1 举报了个 8000 行代码还带有混淆和压缩的安装量还不少的脚本但是还没反馈,网站管理员太不容易了,注册账号容易,几个人面对巨量代码数据。
话说你是脚本更新的时候才审查的吗?如果脚本第一个版本就特别长几千行虽然没有混淆和压缩但你会去审查吗?
rv54ntjwfm3ug8
2021-04-29 18:10:42 +08:00
@HFX3389 #2 可以看我过去在 V 站的主题,我非常重视安全。如果是必要的脚本我一定会审查,否则我会选择不用
imdong
2021-04-29 18:23:33 +08:00
某些脚本向页面暴露了 GM_xmlhttpRequest,可能导致部分用户在特定页面时受到攻击。

最恶劣的情况就是:脚本使用者也是脚本开发者,恶意页面通过暴露的 GM_xmlhttpRequest 控制开发者登陆中的 greasyfork 账号,向其他脚本投毒。

我之前说过 /t/675616
noe132
2021-04-29 19:05:54 +08:00
Tampermonkey 和 greasyfork 不是所谓的官方关系。能安装脚本的不止 tampermonkey,还有 greasemonkey,voilentmonkey 。
分发脚本的不只是 greasyfork,greasyfork 前身 userscript.org ,直接通过 项目的 github release,甚至是直接复制某一段代码。

你把 greasyfork 看成一个 ugc 论坛,安装相当于把脚本下载下来了。论坛删帖了,你下载的内容别人是不可能帮你删掉的。
有恶意脚本,有抄袭是,管理员不活跃,是 greasyfork 社区运营的问题。有人 abuse,你能做的只有举报,或者你能参与到社区的维护,或者你能做一个更好的 greasyfork 去竞争。
Ansen
2021-04-29 20:09:03 +08:00
v 友应该基本都会审查的吧,

作为小白,尽可能的选使用人数比较多的脚本
imldy
2021-04-29 21:24:48 +08:00
看了楼主帖子,我去已安装脚本那里发现了一个空脚本(无实际代码),description 为“This script was deleted from Greasy Fork, and due to its negative effects, it has been automatically removed from your browser.”。
好像是 Greasy Fork 官方发布了个这个脚本的新版本,可能是我没注意就确认更新了,导致现在才发现。
ysc3839
2021-04-29 21:49:05 +08:00
关于第一点,我想说:对于大部分人来说,很少人能对自己安装的应用程序进行代码审查。

本来大部分普通人就不会检查自己运行的软件的安全性的,这个问题可能并没有什么好的解决方案。
muzuiget
2021-04-29 21:54:42 +08:00
油猴扩展本质就是自建应用商店,就跟微信申请一大堆权限,然后自建小程序功能,自搞应用中心,本身就是为了绕过 Chrome Store 的一堆审核和安全机制,既然都用油猴,还担心什么安全。

虽然 Chrome Store 也是迷之审核的,一样有一大堆垃圾扩展上架,然后一大堆扩展下架。比如编辑我的扩展描述,列出了我的扩展支持的网站名,结果某次加了一个网站后,给打下来,说列出太多网站名,有故意堆切关键字的提高搜索命中率的行为,要求最多 5 个。而很多扩展,描述里洋洋洒洒几千字,连更新日志都贴上去,一样通过。说白了你写得认真,审核的人就跟你较真,写得越多越乱,审核的人就太长不看了。
XIU2
2021-04-30 08:15:25 +08:00
我当初为了满足自己的一些网页修改需求,特地临时学了下 JavaScript 自给自足写了十几个油猴脚本。。。
现在我的 Tampermonkey 里绝大部分都是我自己写的脚本(当然技术很菜,只能写一些简单的脚本,但也基本够用!),我个人喜欢分享,也顺便分享出来看有没有其他人需要~
github.com/XIU2/UserScript

不过前段时间 Tampermonkey 似乎自己做了一个油猴脚本搜索网站,整合了几个热门脚本托管网站( Greasy Fork 这种),上次更新直接整合到了 Tampermonkey 扩展中了。。。
francis59
2021-05-01 17:12:21 +08:00
楼上有些人真是典型的我即世界

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/774173

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX