サイと旅する このページをアンテナに追加 RSSフィード

2007-12-14

[][]greasemonkeyのセキュリティーホール

仕様がおかしいんじゃないかと思うけども、こんな問題があるらしぃ。

http://d.hatena.ne.jp/sawat/20070423/1177345938

そこで、考えたのが関数の上書き作戦


unsafeWindow.eval = function(code){

  alert("cannt use eval. \nparam =");

};


とかしてやれば、evalを無効にできそうなのでユーザースクリプト側への進入を回避できるのでは!?

加えて、用意されている GM_xmlhttpRequest を無効にしたりとかすると安心して使えそうな気がする。

何か問題がありましたらコメントお願いします><

javascripterjavascripter 2008/06/16 16:27 下記のようにすると、デフォルトのevalが使えるようになってしまいます。
javascript:var _eval=eval;delete window.eval;void 0;
eval問題によって、もしかしたら特権を奪えてしまうかもしれません。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/Nilfs/20071214/1197616953