L'extension Greasemonkey pour Firefox devient de plus en plus populaire, et il est temps de se poser des questions.

Pour mémoire, cette extension permet d'ajouter des scripts en JavaScript personnalisés qui s'exécutent à chaque page visitée. Cela permet des choses intéressantes, du style rendre cliquable les adresses Web qui sont juste du texte (ex : transforme http://www.ophiuchus.org/ en http://www.ophiuchus.org/). La liste des possibilités est énorme.

Maintenant, posons nous la question, et si un script malveillant est installé dans cette extension ? Oui, il aura accès à tout ce que je saisi sur le net, y compris mes mots de passe et mes numéros de carte bancaires. Inquiétant, non ?

Revenons un instant sur le comportement de Firefox en présence d'un site sécurisé (https://). Sur un site sécurisé, Firefox affiche la barre d'adresse sur fond jaune avec un cadenas. En bas, le nom de domaine du site s'inscrit à coté du cadenas.

La question qui vient à ce moment, et si un Greasemonkey insère un script dans une page sécurisée, que ce passe-t-il ? Et bien heureusement, Firefox n'est pas dupe ; la barre d'adresse passe sur fond rouge, et le cadenas est cassé. Les options de Greasemonkey permettent de le désactiver sur les sites sécurisés, il faut le faire ! Ainsi, Firefox gardera sa capacité à vous prévenir si quelque chose cloche sur un site sécurisé, que ce soit une extension malveillante, un script malveillant installé dans Greasemonkey, ou je ne sais quoi d'autre.

Pour exclure les sites sécurisés de Greasemonkey, il suffit d'ajouter dans les exceptions (excluded pages) : https://*.