Il problema sorge nel momento in cui lo script greasemonkey contiene al suo interno del codice maligno. A meno che non sia l’utente stesso in grado di capire il significato del codice che sta installando – ammesso che abbia la pazienza di visualizzarne il contenuto – nessun antivirus è in grado di verificare la genuinità degli script.
In seguito a due battute scambiate su twitter con Matteo posto qui una demo scritta al volo per rendere meglio l’idea
Con un po di fantasia il codice potrebbe essere annidato o offuscato in altro codice e spacciato per uno script di utilità. L’inoltro potrebbe essere eseguito silenziosamente attraverso un iframe.
Sono sempre più convinto che i prossimi trojan/keylogger ce li ritroveremo nelle estensioni per i browser.
Technorati tags: Javascript, Estensioni, Greasemonkey
Uno script in greasemonkey va installato manualmente. Nel senso che l’utente deve decidere di eseguire quel codice.Quanti danni riuscirà a fare uno script dopo i primi attacchi? Lo installa il primo, il secondo, il terzo… I primi restano fregati, ma in quanto tempo il web risponderà dicendo “lo script per utilità X scaricato da Y è maligno perchè fa N cose brutte”.Non dovrebbe passare troppo tempo ed in questo ci sarebbe la non avvenuta attuazione di uno dei punti fondamentali delle carogne: estendere la “contaminazione” a macchia d’olio.D’altra parte si potrebbe pensare ad un estenzione che controlla le estenzioni di greasemonkey ed avverte che nel codice è annidata una chiamata ad un server remoto (se c’è http://qualcosa.boh avverte), ne da le coordinate di controllo e fa decidere l’utente se usare comunque la cosa.Non esistono soluzioni buone al 100%, ma si possono studiare le contromisure
Questa potrebbe essere una buona soluzione : http://www.gerv.net/security/content-restrictions/