Комментарий #12722392
Ответы
Покажите, пожалуйста, в коде скрипта, где мы крадём данные пользователей или наносим им вред каким-либо другим способом. Иначе, утверждение "скрипт не безопасный" неверно.Нет, этот скрипт не безопасный. Даже если вы знаете JavaScript и проверили каждую строчку кода вручную.
Именно. За безопасность своего железа отвечает пользователь. Тоже самое можно применить к любому UserScript, и даже популярным утилитам, которые имеют функцию автообновления.Во-первых, в любой момент скрипт может обновиться и вы даже не заметите этого.
Решается отключением автообновления для скриптов или для конкретно данного скрипта в Tampermonkey.
Например, это можно сказать про шики рейтинг и подобные популярные юзерскрипты.
Абсолютно верно. То же самое применяется к любому скрипту, который обращается к внешнему ресурсу.Во-вторых, скрипт обращается к внешнему домену raw.githubusercontent.com для скачивания шаблона, который полностью перезаписывает код страницы Shikimori. Надо ли говорить, что внешний шаблон может содержать любой встроенный код? Даже с отключенным автообновлением скрипта автор может в любой момент добавить туда вредоносный код (майнер или любую 0-day уязвимость с биржи). Даже настроенный CORS здесь не поможет, а проверять код шаблона каждую секунду на обновление по внешнему адресу в здравом уме никто не будет.
Бесполезное раздувание кодовой базы скрипта. На данный момент шаблон это 1141 строка кода.Решается встраиванием шаблона в тело скрипта.
Gist на raw.githubusercontent.com, как и данный скрипт находится под управлением разработчика. Повторюсь, безопасность это вопрос самого пользователя.
Тоже самое можно сказать про любую популярную утилиту. Если Вы не заметили, в скрипте в самом вверху можно поменять источник для любого из скриптов. Поэтому, если Вы не доверяете разработчикам скрипта - отключаете автообновления и меняйте ссылку на свою собственную.Поэтому, нет, этот скрипт не безопасный. Этот код не контролирует ни Shikimori, ни Tampermonkey, ни Greasy Fork, и может перестать контролировать даже сам автор.
Думаю, не стоит упоминать, что взломы аккаунтов разработчиков происходят постоянно.
Буду рад выслушать, какую модель распространения скрипта лучше всего использовать.
Твой комментарий
A: Да, скрипт имеет открытый исходный код, не собирает данные и работает только в режиме чтения
Нет, этот скрипт не безопасный. Даже если вы знаете JavaScript и проверили каждую строчку кода вручную.
Во-первых, в любой момент скрипт может обновиться и вы даже не заметите этого.
Решается отключением автообновления для скриптов или для конкретно данного скрипта в Tampermonkey.
Во-вторых, скрипт обращается к внешнему домену raw.githubusercontent.com для скачивания шаблона, который полностью перезаписывает код страницы Shikimori. Надо ли говорить, что внешний шаблон может содержать любой встроенный код? Даже с отключенным автообновлением скрипта автор может в любой момент добавить туда вредоносный код (майнер или любую 0-day уязвимость с биржи). Даже настроенный CORS здесь не поможет, а проверять код шаблона каждую секунду на обновление по внешнему адресу в здравом уме никто не будет.
Решается встраиванием шаблона в тело скрипта.
Первая проблема не такая серьезная. Вторая - критическая, контролировать которую не сможет даже "законопослушный" автор, если завтра, к примеру, потеряет доступ к аккаунту GitHub.
Поэтому, нет, этот скрипт не безопасный. Этот код не контролирует ни Shikimori, ни Tampermonkey, ни Greasy Fork, и может перестать контролировать даже сам автор.
@Commenop