On 7/18/05, <b class="gmail_sendername">Mark Pilgrim</b> &lt;<a href="mailto:pilgrim@gmail.com">pilgrim@gmail.com</a>&gt; wrote:<div><span class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On 7/18/05, Jeremy Dunck &lt;<a href="mailto:jdunck@gmail.com">jdunck@gmail.com</a>&gt; wrote:<br>&gt; So, uh, the script leaking investigation isn't entirely for the glory<br>&gt; of knowing. It also sucks to leak private keys.
<br><br>Last week I showed that the complete text of every single one of your<br>locally-installed user scripts could be leaked to remote sites (<br><a href="http://diveintogreasemonkey.org/experiments/script-leak.html">http://diveintogreasemonkey.org/experiments/script-leak.html
</a> ), and<br>the reaction from the GM developers was (paraphrasing) &quot;Yeah, we know<br>about that, but we haven't fixed it yet because it's hard.&quot;</blockquote><div><br>
Mark, a question of clarification:<br>
When I looked at that exploit last week it seemed the server would have
to be @included in any script in order to read it. The GM_setValue
exploit also @includes its own demonstration page. I'm not trying to
discount the severity here, only asking if my understanding of the
nature is correct. Namely, must a script open itself to the server in
the @include line for this exploit to be viable?<br>
<br>
chris<br>
&nbsp;</div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">I would now like to point out that every single piece of data stored<br>locally with GM_setValue can be leaked to remote sites. Working
<br>exploit here: <a href="http://diveintogreasemonkey.org/experiments/function-leak.html">http://diveintogreasemonkey.org/experiments/function-leak.html</a><br><br>I feel I've accumulated a fair amount of karma in this fledgling
<br>community, and I'm going to burn some of it now by suggesting that<br>this is a BIG FUCKING DEAL and that I am TRULY SHOCKED that it is not<br>being dealt with in GM 0.4.<br><br>--<br>Cheers,<br>-Mark<br>_______________________________________________
<br>Greasemonkey mailing list<br><a href="mailto:Greasemonkey@mozdev.org">Greasemonkey@mozdev.org</a><br><a href="http://mozdev.org/mailman/listinfo/greasemonkey">http://mozdev.org/mailman/listinfo/greasemonkey</a><br></blockquote>
</div><br>