Ci sono alcune cose da considerare. Con Greasemonkey (GM), gli utenti (lato client) devono accettare l'installazione di uno script GM o scrivere loro stessi uno script GM. Poiché l'utente client ha accesso completo a qualsiasi pagina che il server può scaricare (con le autorizzazioni e l'autenticazione dell'utente), lo script GM può modificare questo contenuto o utilizzare il contenuto in combinazione con altre pagine dello stesso server o altri server non collegati per presentare i dati della pagina web in qualsiasi modo desiderato. Un esempio potrebbe essere un sito immobiliare (RES) che ha i dettagli delle case in vendita e le immagini su pagine diverse. Le pagine RES possono essere acquisite con uno script GM e assemblate in un'unica pagina. Inoltre, la metratura (o metri quadrati) o le informazioni fiscali possono essere estratte dal sito web dell'Assessore e mescolate insieme come una pagina con le informazioni RES. Da solo, questo non è sinistro. Tuttavia, se hai bloccato il clic con il pulsante destro del mouse o disponi di contenuti protetti in blocco nella pagina, un autore di script intelligente potrebbe essere in grado di ignorare le protezioni (come è possibile semplicemente regolando gli elementi nel codice HTML tramite gli strumenti di sviluppo).
Ecco dove possono esserci altri problemi. Molti siti Web non proteggono molto bene i loro asset e le loro API. Se si lasciano le autorizzazioni aperte a più risorse, il writer può essere in grado di decodificare gli script della pagina e acquisire più risorse. Con le API, questa è un'altra storia. Non limitando le API sul sito, uno script GM può effettuare richieste extra alle API. Ad esempio, supponiamo che il nome utente sia parte di un'API. Lo script potrebbe cambiare il nome utente hard-coded e inserire un altro nome utente nello script che estrarrà le informazioni di qualcun altro. Forse il sito vende qualche tipo di servizio per la ricerca e l'utente può effettuare una ricerca solo per località geografiche o interessi ma non per entrambi. Se l'API non è correttamente bloccata, questa ricerca può essere estesa ad entrambi con uno script GM.
Per quanto riguarda gli attacchi di forza bruta, un solo browser non è probabilmente un grande esercito. Se il desiderio è di fare attacchi o anche di colpire il sito molte volte per provare le password, ci sono molti altri strumenti che sono adatti per l'attacco.
Quindi Greasemonkey è lo strumento di un cracker? Sì, ma consente al cliente di vedere solo ciò che è già presente a causa della cattiva sicurezza del sito Web. Se c'è uno script GM installato senza che l'utente sia a conoscenza, lo script può spiare le azioni dell'utente corrente intrappolando password o altre informazioni da pagine che sono familiari allo script.
Ancora una volta, il consiglio dato da @Adnan:
My advice to you is to get a competent individual to assess the
security situation of your website, and to help you protect it from
future attacks.