Warning: preg_replace() [function.preg-replace]: Compilation failed: missing ) at offset 9 in /virtual/works/public_html/firefox/lib/func.php on line 516

Warning: preg_replace() [function.preg-replace]: Compilation failed: missing ) at offset 9 in /virtual/works/public_html/firefox/lib/func.php on line 516

Warning: preg_replace() [function.preg-replace]: Compilation failed: missing ) at offset 9 in /virtual/works/public_html/firefox/lib/func.php on line 516

Warning: preg_replace() [function.preg-replace]: Compilation failed: missing ) at offset 9 in /virtual/works/public_html/firefox/lib/func.php on line 516

Warning: preg_replace() [function.preg-replace]: Compilation failed: missing ) at offset 9 in /virtual/works/public_html/firefox/lib/func.php on line 516

Warning: preg_replace() [function.preg-replace]: Compilation failed: missing ) at offset 9 in /virtual/works/public_html/firefox/lib/func.php on line 516

Warning: preg_replace() [function.preg-replace]: Compilation failed: missing ) at offset 9 in /virtual/works/public_html/firefox/lib/func.php on line 516
Greasemonkey - Mozilla Firefox まとめサイト


現在の位置

トップページ > Greasemonkey


古いバージョンをお使いの方へ 編集

Greasemonkeyに任意のファイルを読まれてしまう脆弱性があることが公表されています。*1 バージョン0.3.5以前のGreasemonkeyをお使いの方は、Greasemonkey | Firefox アドオン | Mozilla Japan の公式アドオン紹介サイトから、最新のバージョンにアップデートしてください。アドオンマネージャからの更新でもアップデートできます。

ただし最新のバージョンにおいても、セキュリティ上の問題にあるセキュリティリスクは残っています。

コレは何? 編集

Greasemonkeyは指定ドメイン・URLに対しJavaScriptによるユーザーサイドスクリプトを追加することの出来るFirefoxアドオンです。ユーザースタイルシートではできない細かな動作指定が出来ます。

セキュリティ上の問題 編集

根本的な問題 編集

クロスドメインでの通信が簡単にできてしまうことのリスク 編集
  • ブラウジングしているサイトのCookieを悪意あるサイトに送信
  • ブラウジングしているサイトのURLを悪意あるサイトに送信
  • 検索語句を悪意あるサイトに送信
  • テキストボックスに入力した語句を悪意あるサイトに送信

    以上のような操作を、Greasemonkeyスクリプトで簡単にできてしまいます。

    翻訳系、検索系などのスクリプトはデータを第三者に送信していることがあり、動画ダウンロード系はトラッキングデータを収拾していることがあります。

信頼できるスクリプトか否か、自分で判断する必要がある 編集
  • 便利そうなものほど危険が伴い、複雑なスクリプトほど悪意あるコードを隠蔽しやすい
  • 現在のところ、安全なスクリプトを配布している信頼できる機関はない
  • 現在のところ、安全なスクリプトを配布するための技術は確立されていない
  • 現在のところ、悪意あるスクリプトを確実に回避する唯一の方法は、Greasemonkeyを利用しないことである

    スクリプトをインストールするときには、ソースを見て、怪しいコードが無いか確認するのが望ましいでしょう。

  • XMLHttpRequestGM_xmlhttpRequestが、どこと何のデータを送受信しているか
  • EventSourceWebSocketが、どこと何のデータを送受信しているか
  • img、link、script、embed、object、iframe、audio、videoなどの要素の作成や属性の変更が行われている場合、どこのデータを何の目的で読み込んでいるか*3
  • CSSによって画像やフォントが読み込まれている場合、どこのデータを何の目的で読み込んでいるか*4
  • スクリプトに記述されているコードや外部から読み込まれるリソースが、MinifiedやBase64によって難読化されていないか*5
  • openassignreplaceclicksubmitなどのメソッドやping属性によって、怪しいページに情報を送信しようとしていないか

第三者による悪意あるコードの実行 編集

スクリプト作成者に悪意が無くとも、コードの書き方によっては、悪意あるコードの混入を許す危険なスクリプトとなってしまいます。

unsafeWindowを使用しているスクリプトはリスクが非常に高い*6 編集

Webページ側の関数などをGreasemonkeyスクリプトから呼び出すと、スクリプトが乗っ取られるなどリスクが高くなります。__parent__ プロパティからGreasemonkeyスクリプトの実行コンテキストを取得されてしまう危険性があり、Greasemonkeyスクリプトを特権コードで動作させていた場合は、悪意あるWebページによってFirefoxが完全に乗っ取られることになります。乗っ取られた場合は、保存されたパスワード、フォームに入力されたログインIDおよび入力したパスワード、さらにパソコンに保存された任意のファイルを第三者に送信されたり、改変・削除されてしまいます。

@grantが指定されていない、または @grant none が記述されている場合、Webページ側のコンテキストでスクリプトが実行されます。 これはwindowの代わりに常にunsafeWindowを利用しているような状態であり、Webページ側のprototype汚染などの影響も受けます。

外部から取得したコードの実行 編集

スクリプトのコードをダウンロードして実行するようなGreasemonkeyスクリプトも公開されており、非常に危険です。特に不特定多数が編集できるWikiなどからコードをダウンロードするGreasemonkeyスクリプトを使うことは、きわめて危険な行為です。

「Greasemonkeyスクリプトの更新」や、@requireが使用されているスクリプトも同じようなリスクを伴うので、注意が必要です。

公開されているスクリプト 編集

ユーザースクリプト専用のリポジトリ(投稿サイト) 編集

サイト別まとめ 編集

※ここでまとめているスクリプトは、編集者が安全を確認したわけではありません。上記リポジトリに投稿されているスクリプトと同様に、自己責任でご利用ください。

FirefoxやWebサイト側の仕様変更によって動作しなくなっているスクリプトが多数あると思います。明らかに現在の環境では動作しないスクリプトを見つけたら、リストから削除してください。 また、有用なスクリプトがあれば随時リストに追加してください。

Yahoo!JAPAN 編集
2ちゃんねる 編集
Bloglines 編集
mixi 編集
Google 編集
はてな 編集
Amazon.co.jp 編集
Amazon.co.jp リレー・蔵書検索 編集
YouTube 編集
niconico 編集
Twitter 編集
ATND 編集
pixiv 編集
その他のサイト 編集
  • RakutenSouryouPopup – 楽天市場の商品を一覧しながらショップの送料を簡単に表示
  • CookpadAndYahooRecipe – Cookpad(クックパッド)のキーワード検索結果にYahooグルメのレシピも表示
  • CookpadUtility – Cookpad(クックパッド)のレシピに「つくれぽ数」と「その人が作った料理数」を表示
  • CookpadUtility2 – Cookpad(クックパッド)のレシピにブックマーク数を表示
  • check*pad BookmarkletBox – check*padに現在見ているページ追加するブックマークレットを作成
  • check*pad exporter – check*padのリストをエクスポート
  • pya! 18+ Confirm Automatic – pya!の18歳以上の確認を自動化
  • MML Code Clipper – TSS Clipboard Playerのためのスクリプト
  • del.icio.us IncSearch – del.icio.usのブックマークをインクリメンタルサーチする
  • del.icio.us + hatebu IncSearch – del.icio.us+はてなブックマークをインクリメンタルサーチする
  • newsingskiper – newsingのページをスキップしてピック元ページに移動する
  • livedoornewsskiper – livedoorニュースの詳細ページに移動する
  • convert text – CSVファイルとGreasemonkeyで強引にHTMLの文章を書き換える
Web全般で動作 編集

User Script Compiler 編集

https://arantius.com/misc/greasemonkey/script-compiler.php(英語)

Greasemonkeyスクリプトを単体の拡張パッケージに変換するWebサービスです。

関連リンク 編集