>>161959
Кукла сама по себе имеет в include маску "*", то есть выполняется расширением, встраивающим юзерскрипты, по-умолчанию на всех сайтах, если пользователь не указал пользовательские инклуды в настройках расширения. То есть, теоретически скрипт может выполнится на любом вконтактике и натворить там делов. Но, во-первых, настраивайте инклуды, во-вторых, к разработчикам /(tamper|violent|grease)monkey/ точно так же встает вопрос доверия, в особенности в свете проприетарности первого и того, что никто из них и не скрывает, что все это монетизируется через сбор пользовательских данных, или по крайней мере, они собирают "телеметрию" и "статистику". То же самое можно сказать и про браузер, и про ОС, и про закладки в процессоре, и про тов. майора, палящего монитор с биноклем.
То, что кукла не выполняется дальше, если не детектирует, что сайт является бордой с поддерживаемым движком, не убеждает опекателей своих печенек, так как код может измениться в следующем коммите. Что впрочем не отменяет возможности читать и коммиты, или хотя бы чейнджлоги (а читать их стоит, 95% пользователей используют 10% функционала, не догадываясь об остальном, для кого-то Степан их все-таки пишет).
Один "исследователь", изучавший ProtonMail, обнародовал так отрицательный результат, написав в работе, что хоть да, там как и заявлено есть end-to-end шифрование и код во фронтенде это и делает, но мы же не знаем, что в следующий раз сервер вернет такой же яваскрипт, а не подмененный под угрозой ФБРовцев с автоматами, подкупленным сотрудником или хакером, получившим доступ к серверу. Исследователь побыл таким образом капитаном, и даже получил ответ от ProtonMail, что описанные им вещи должны быть очевидны любому, кто хоть раз сидел за компьютером и слышал, что такое интернет.
С тем же успехом можно было публиковать исследования "в конфетах Красный Бородач примесей конской спермы не обнаружено, но МЫ ЖЕ НЕ ЗНАЕМ, что будет в следующей партии и не контрафакт ли вы купите в киоске около местного конезавода".