proto.jp blog » Tumblrの複数アカウント管理Greasemonkeyスクリプト『TumblrLoginS』のUIみたいなの、みためもいいし便利だから、自分もAutoPagerizeとかにあったらいいなと思って考えたことがあるんだけど、現状だとGMからページにUIを入れ込むのは安全に作ることができない。

Greasemonkeyでいま見てるページの上にUIを作ってそこにデータを入れるようにすると、そのいま見てたページがTumblrLoginSをターゲットにしてTumblrLoginSのパスワードを監視するような悪意あるこんな

window.setInterval( function () { 
  var passwd = document.getElementById('tumbID_0').getElementsByTagName("input")[1];
  passwd.value
}, 100 )

コードが仕込まれていると、その悪意あるページにパスワードを抜き取られてしまう。実際のところはそんなページ存在しないから問題ないと言えばないけど。

信頼できないページでもアカウント情報の設定UIが開けるのがいけないだけなので、信頼できる特定のドメイン(www.tumblr.comとか)でだけ設定できるようにするのがいいと思う。
特定のサイトを信頼したりしないで安全にアカウント情報なんかを入れてもらおうと思ったら現状ではGMのメニューコマンドからpromptを呼び出して入れてもらうしかないと思う。