脚本安全
油猴脚本安全吗?
一种说法是脚本不安全,要用就得上虚拟机,另一种则是说油猴脚本自带风险过滤机制,不用担心安全问题。
可以确定的是:油猴脚本是有安全风险,但不会有大风险。
现代浏览器的安全性设计很高,像以前 IE6 时代,因为访问某些网站就导致系统中毒的情况,已经不复存在。
浏览器的“沙箱机制”,可以让网页的高风险行为只停留在当前标签页,而不外溢。
而油猴脚本,就像是“堆沙子游戏”,关闭网页,就等于是“移平了沙堆”。
除非你电脑本身有漏洞,又或者手动关闭了浏览器的安全防护。
而你需要注意的是“跨域脚本”。
也就是脚本里引入了第三方脚本,就像小偷偷了你的东西,这时候出现了一个“外应”,然后把东西带离现场。
比如一个“视频解析”脚本,但却要跨域访问你的帐户密码,这绝对是有问题的。
引入第三方脚本的油猴脚本,不一定会盗取用户信息,但盗取用户信息的脚本,一定会引入第三方脚本。
这时候,你就要看看具体引用了什么脚本了。
你可能会说,我看不懂代码呀!
不用担心,Greasyfork 有一套风险过滤体系。
首先,Greasyfork 上的脚本代码是公开的,而且不允许混淆和压缩,如果有小动作,懂代码的人一看就知道了。
如果真的是恶意脚本。
按 Greasyfork 对恶意脚本“零容忍”的风气,一定会有人举报的。
Greasyfork 的管理人员接到举报后,就会人工审查,如果发现确实有问题,就会把恶意脚本删除。
同时,安装到本地了的脚本,也会自动从浏览器里删除。
总之,安装前看看“脚本评论区”准没错。
还有一种情况是 Antifeatures。
你会看到,一个脚本的作用,作者明明说的是“视频解析”,但却可以同时领取淘宝京东的“内部优惠卷”。
别担心,这类脚本「不会」窃取用户隐私。
但它会在淘宝、京东等购物网站上植入返利链接,脚本作者因此会获得返利佣金。
不过这个做法,Greasyfork 是允许的,只要明确标识即可。
尽管从道德上看有“瑕疵”,但从博弈论的角度看,这是有利于 Greayfork 社区,也有利于我们用户的。
让技术开发有利可图,那么开发者们就不会“挺而走险”开发恶意脚本。
当然了,Greasyfork 上这样的脚本很多。
通常它们会杂糅很多功能,让你觉得很强大,但大概率是“挪用”别人的代码。
而且,各种功能杂糅在一起,也会导致功能不清,浏览网页时出现各种 Bug,建议还是要谨慎安装。
你可能还会问:“既然油猴脚本有风险,为什么没有人管管”?
你别说,还真有!
谷歌计划将于 2023 年 1 月 1 日正式上线 V3 扩展规范。
到时,谷歌会以安全为由,停用油猴的远程脚本功能,然后要求脚本代码发布在谷歌的服务商店上。
油猴的功能将会大大折扣。