Нет, этот скрипт не безопасный. Даже если вы знаете JavaScript и проверили каждую строчку кода вручную.
Покажите, пожалуйста, в коде скрипта, где мы крадём данные пользователей или наносим им вред каким-либо другим способом. Иначе, утверждение "скрипт не безопасный" неверно.
Во-первых, в любой момент скрипт может обновиться и вы даже не заметите этого. Решается отключением автообновления для скриптов или для конкретно данного скрипта в Tampermonkey.
Именно. За безопасность своего железа отвечает пользователь. Тоже самое можно применить к любому UserScript, и даже популярным утилитам, которые имеют функцию автообновления. Например, это можно сказать про шики рейтинг и подобные популярные юзерскрипты.
Во-вторых, скрипт обращается к внешнему домену raw.githubusercontent.com для скачивания шаблона, который полностью перезаписывает код страницы Shikimori. Надо ли говорить, что внешний шаблон может содержать любой встроенный код? Даже с отключенным автообновлением скрипта автор может в любой момент добавить туда вредоносный код (майнер или любую 0-day уязвимость с биржи). Даже настроенный CORS здесь не поможет, а проверять код шаблона каждую секунду на обновление по внешнему адресу в здравом уме никто не будет.
Абсолютно верно. То же самое применяется к любому скрипту, который обращается к внешнему ресурсу.
Бесполезное раздувание кодовой базы скрипта. На данный момент шаблон это 1141 строка кода. Gist на raw.githubusercontent.com, как и данный скрипт находится под управлением разработчика. Повторюсь, безопасность это вопрос самого пользователя.
Поэтому, нет, этот скрипт не безопасный. Этот код не контролирует ни Shikimori, ни Tampermonkey, ни Greasy Fork, и может перестать контролировать даже сам автор.
Тоже самое можно сказать про любую популярную утилиту. Если Вы не заметили, в скрипте в самом вверху можно поменять источник для любого из скриптов. Поэтому, если Вы не доверяете разработчикам скрипта - отключаете автообновления и меняйте ссылку на свою собственную. Думаю, не стоит упоминать, что взломы аккаунтов разработчиков происходят постоянно.
Буду рад выслушать, какую модель распространения скрипта лучше всего использовать.
Именно. За безопасность своего железа отвечает пользователь. Тоже самое можно применить к любому UserScript, и даже популярным утилитам, которые имеют функцию автообновления.
Например, это можно сказать про шики рейтинг и подобные популярные юзерскрипты.
Абсолютно верно. То же самое применяется к любому скрипту, который обращается к внешнему ресурсу.
Бесполезное раздувание кодовой базы скрипта. На данный момент шаблон это 1141 строка кода.
Gist на raw.githubusercontent.com, как и данный скрипт находится под управлением разработчика. Повторюсь, безопасность это вопрос самого пользователя.
Тоже самое можно сказать про любую популярную утилиту. Если Вы не заметили, в скрипте в самом вверху можно поменять источник для любого из скриптов. Поэтому, если Вы не доверяете разработчикам скрипта - отключаете автообновления и меняйте ссылку на свою собственную.
Думаю, не стоит упоминать, что взломы аккаунтов разработчиков происходят постоянно.
Буду рад выслушать, какую модель распространения скрипта лучше всего использовать.
@Azerbakanes