枕を欹てて聴く

香炉峰の雪は簾を撥げて看る

Greasemonkey Script の Config Manager削除に関して

詳細

Scriptはここに参考として残しておきます。危ないので決して入れないでください。また、現在入れている人はすぐに削除してください。
Config Manager

Script: Config Managerには脆弱性がありました。
具体的には、以下のようなものが実行可能でした。

var a = window.ConfigManager.getConfig("profile");
alert(a); // gm_scriptsのパスが取得できてしまう。すいません。

また、それを受けて、パスの格納場所をconfig.profileから、configmanager.profileとしたのですが、これでも実は

var a = eval('ConfigManager.path', window.ConfigManager.getConfig);
alert(a); // gm_scriptsのパスが取得できてしまう。なんというか本当にすいません。

とできることから、Scriptの公開停止とさせていただきました。

Greasemonkeyについて

Greasemonkeyを使う方には注意してほしい(そして、自分もしたい)のですが、実はこんなことができます。

var a = eval('SITEINFO', window.AutoPagerize.addFilter);
alert(a); // AutoPagerizeに個人で登録しているSITEINFOを取得。

evalの第二引数怖すぎる。。。

とりあえず自衛策としては「ユーザースクリプトを実行するURL」が「*」になっているスクリプトはソースを確認するか、インストール後すぐ「http://*」などに書き換える、といったところですかね。

http://twitter.com/Yuichirou/statuses/797463519

id:Yuichirouさん。本当にありがとうございました。