这是一个创建于 1212 天前的主题,其中的信息可能已经有所发展或是发生改变。
我通常写好 Chrome 插件以后,会通过 Chrome 的开发者模式直接本地加载使用。之前看到很多人推荐使用 Tampermonkey 插件(传说中的油猴脚本插件),写了个抢茅台脚本用 Tampermonkey 试用,觉得真的很方便。我准备把 Tampermonkey 用在业务上,不知道是否有安全隐患,各位老哥有熟悉这方面的可否解答下,非常感谢!
我看到谷歌对上架的 Chrome 插件都有审核,个人理解是应该不会有什么风险。但是毕竟本人这方面的知识不够,还想请教下各位老哥。
 |
1
ysc3839 2021-07-22 11:58:22 +08:00  3
可能性是有的,因为 Tampermonkey 已经不开源了。
我个人使用的是 Violentmonkey https://violentmonkey.github.io/ |
 |
2
Jirajine 2021-07-22 12:02:04 +08:00 via Android 1
@ysc3839 不,这个更不安全。tampermonkey 还是可以的,除了有默认开启 GA 作者也回应过。而这个开源版本的功能缺失严重,自动更新不会弹出 diff 让用户 review 而是静默直接更新,这是更大的安全隐患。
|
|
3
ysc3839 2021-07-22 12:26:08 +08:00
@Jirajine 我去看了下 Violentmonkey 的设置,有 Notify script updates 的选项呀?难道说开启了这个只是更新后弹出个通知,不可以选择是否更新?那还可以考虑直接禁用更新,或者自己修改代码实现。
|
 |
4
melsp 2021-07-22 12:27:43 +08:00 via Android
肯定有的,有些会记录 cook
|
 |
6
paradoxs 2021-07-22 12:31:06 +08:00
浏览器扩展的权限真的太过分了,等于无所不能。
|
 |
7
jim9606 2021-07-22 12:46:29 +08:00 1
别太相信插件商店的审核(以及 Google Play 的审核),因为多数时候是无人介入的程序化审核。由于开发者帐户被盗导致的攻击事件也不是没发生过,毕竟有很多安全问题不是自动审核可以解决的。
插件的主要问题是可用的 api 比 userscript 大不少,例如可以读写存储的 cookies 。而且放商店得翻墙才能下。好处是可以自动更新和出问题时远程停用。 插件还有个好像存在的问题是浏览器会为每个扩展创建一个进程来运行,不知道会不会增加内存消耗。 |
|
9
ysc3839 2021-07-22 13:46:55 +08:00 via Android
@Telegram 当然没有必然关系,我只是说有可能。闭源软件更不安全这种说法是开源界的政治正确。
https://www.gnu.org/proprietary/proprietary.html 另外我刚才下载了 Tampermonkey 的 crx 看了下,里面的代码是混淆过的。 |
 |
11
zhuzhuaini 2021-07-22 14:43:50 +08:00
油猴脚本用在业务上怎么解决更新问题,总不能把脚本放到类似 greasyfork 的网站的上吧
|
|
12
zhuzhuaini 2021-07-22 14:45:47 +08:00
是不是可以将 JS 脚本放到 HTTP 服务中,然后将 URL 填写到更新 URL 中 然后当这个服务器上的 JS 出现更新时(本地的代码和服务器上的不同),他就会让你更新
|
 |
14
sudoy OP 谢谢各位解答,决定还是用本地插件方式方式加载 js 脚本
|
Select Language