P.S. Да, скрипт может работать и без входа в аккаунт. Большинство функций, которые анализируют публичную информацию на страницах игр, будут работать как обычно: вы увидите индикаторы перевода, сможете проверить время прохождения (HLTB) и наличие русификаторов (ZOG), воспользоваться агрегаторами цен (%) и Plati.Market, а также анализатором региональных цен. Но функции, которые завязаны непосредственно на ваши личные данные, естественно, потребуют авторизации. Без входа в аккаунт Steam просто не не получит информации, за счёт которых работают следующие модули: Наблюдатель (Sledilka): не сможет отслеживать изменения в вашем списке желаемого и библиотеке. Время друзей: не увидит список ваших друзей и их игровое время. Помощники подарков: не будут знать вашу страну и валюту для сравнения цен. Фильтр "Только ваши DLC" в каталоге: не сможет определить, какими играми вы владеете. Рулетка Stelicas и доп. инфо в ленте активности: работают на страницах сообщества, которые доступны только авторизованным пользователям. Проще говоря, всё, что требует персонализации (ваша библиотека, друзья, страна), нуждается в авторизации. Всё, что анализирует общедоступную информацию, работает и без неё.

Безопасность превыше всего, согласен. Давайте я подробно и без утайки расскажу, как устроен мой скрипт. В первую очередь, важно понимать фундаментальный принцип: скрипт не видит и никак не взаимодействует с вашим паролем или процессом входа в Steam. Вы вводите свои данные на официальной, защищенной странице Steam. Скрипт начинает работать уже после того, как вы успешно вошли в свой аккаунт, и оперирует только той информацией, которую ваш браузер и так получает от серверов Steam. Код полностью открыт, и что важнее - в нем нет обфускации. Это значит, что он не запутан и не превращен в нечитаемую кашу, как это часто делают авторы вредоносных программ, чтобы скрыть свои действия. Любой желающий, даже с базовыми знаниями, может прочитать его и понять логику. Там нет скрытых функций, которые бы искали ваши токены авторизации или cookie. Опытные безопасники могут задать вопрос о внешних библиотеках, которые он подключает. Это аспект безопасности учтен. Скрипт использует несколько популярных библиотек (jQuery, Chart.js и др.), все они загружаются с крупнейших мировых CDN: code.jquery.com, cdnjs.cloudflare.com и cdn.jsdelivr.net. Компрометация этих серверов - это событие планетарного масштаба, которое затронет миллионы сайтов, а не только этот скрипт. Самый строгий контроль песочница Tampermonkey осуществляет над сетевыми запросами. Скрипт не может отправить данные на какой-либо сервер, который не прописан в его заголовке в директивах @connect. Вы можете сами открыть код и увидеть этот список. Для чего он нужен? Серверы Steam: для получения цен, информации об играх, обзоров, данных о друзьях - то есть для выполнения 90% своих функций. Публичные базы данных: HowLongToBeat, ZoneOfGames, базы с моего репозитория GitHub - для получения времени прохождения, информации о русификаторах и обновляемых баз данных, без которых скрипт быстро устареет. Магазины ключей: SteamBuy, Playo, Gabestore, Plati.Market и другие - их много, потому что модуль "Агрегатор цен" обращается к каждому из них, чтобы найти для вас лучшую цену на игру. imgur используется для загрузки картинок-примеров, которые вы видите в окне настроек. Наконец, если вы все еще сомневаетесь - и это ваше полное право, - есть современный способ проверки. Вам не нужно быть программистом. Просто скопируйте код скрипта, зайдите в любую мощную нейросеть и дайте ей задание: "Проанализируй этот Userscript на предмет вредоносных действий. Ищет ли он пароли, cookie или токены авторизации? Отправляет ли он личные данные на какие-либо серверы? Объясни, для чего предназначены его функции и сетевые запросы". Нейросеть беспристрастно проанализирует код и подтвердит, что он занимается ровно тем, что заявлено в описании.

Среднестатистический пользователь, а таких большинство на этом сайте не будет читать простыни диффов, ибо ни хрена в них не поймет, а тупо жмакнет "обновить". С чем я его и поздравляю. Так что вся эта простыня дефа к большинству юзверей неприменима. Даже учитывая великодушную возможность "лично проревьювить код", на что опять же большинство пользователей тупо неспособно, да и не должно быть. Это как обвинять производителя циркулярной пилы в том, что кто-то решил почесать ею спину, не читая инструкцию и игнорируя защитный кожух. Я, как разработчик, предоставил защитный кожух (прозрачный процесс обновления и открытый код) и рекомендовал расширение с безопасными настройками по умолчанию. Пользователь, в свою очередь, решает, использовать ли эти средства защиты или нет. Если пользователь сознательно отключает все системы безопасности, а потом "тупо жмакает", то это его осознанный выбор и его зона риска. Моя задача - предоставить возможность для проверки. Я её предоставляю в полном объеме. Посему ничего не мешает релизнуть вредонос Технически - ничего. Точно так же, как технически ничего не мешает врачу вместо аппендикса вырезать человеку почку. Мешает несколько иное - репутация. Код скрипта опубликован под моим реальным именем (Egor Popov) и никнеймом (0wn3df1x), который я использую в сети больше 15 лет. Я не аноним, а публичная личность: Являюсь частью администрации сайта ZoneOfGames.ru - крупнейшей в рунете базы русификаторов. Являюсь инженером по локализации в Tolma4 Team, которая от перевода игр Telltale перешла в сферу официальных локализаций. 11 лет работаю в игровой индустрии, за плечами 388 проектов локализации. Светился в новостях (довольно нелепых, типа ориентировочной стоимости перевода Starfield). Как-то не планировал менять авторитет и карьеру локализатора на сомнительный образ угонщика Steam-аккаунтов или чьих-то данных. причем если постараться можно его малость обфусцировать, чтобы не сразу обнаружили. Можно. Но сейчас в коде обфускация отсутствует. Код написан читаемо и разбит на модули, любой желающий может его прочитать и проверить. Если нет знаний - может брать весь код, может брать каждый модуль, закидывать его в любые продвинутые нейронки и просить проверить код на вредоносы. Violentmonkey И там автоматическое обновление скриптов из интернета без ведома пользователя является базовой функцией? Затем, что я знаю, что делаю, и юзаю исключительно самописные скрипты. Резюмирую: вы не используете мой скрипт, потому что доверяете только собственному коду. При этом главный аргумент о небезопасности для других строится не на анализе моего кода, а на функционале стороннего менеджера скриптов с небезопасными настройками, который я никому не предлагал.

Во-первых, утверждение о том, что скрипт "обновляется автоматом", не соответствует действительности. В коде нет директив, которые бы обеспечивали автоматическое обновление без ведома пользователя. Есть директива на автоматическую проверку наличия обновления. Разница примерно как между "на улице мне предложили вырезать почку за деньги" и "мне вырезали почку за деньги". В коде моего скрипта, как и в любом другом, который размещается на Greasy Fork, присутствуют две ключевые директивы для управления версиями:@updateURL и @downloadURL Директива @updateURL указывает менеджеру скриптов, где можно проверить информацию о новой версии (её метаданные: версия, описание и т.д.). Если менеджер обнаруживает, что версия на сервере новее установленной, он инициирует процедуру обновления. @downloadURL указывает, откуда скачивать сам файл скрипта, если пользователь подтвердит обновление. Эти директивы информируют менеджер о возможности обновления. Они не дают скрипту права самостоятельно себя перезаписать. Мой скрипт пишется и тестируется для менеджера Tampermonkey, и везде я рекомендую использовать именно его. Когда Tampermonkey, используя указанные выше URL, обнаруживает новую версию, он не устанавливает её молча. Он показывает пользователю вот такое окно уведомления (прикрепил скриншот). Что мы видим на скриншоте: Чёткое уведомление: Пользователю сообщают, что доступно обновление (v2.1.0 -> v2.1.1). Информация об изменениях: Показывается, что именно было изменено. Самое главное - Tampermonkey предоставляет возможность сравнить текущую версию кода с новой. Вкладка "Изменения" (Changes) наглядно подсвечивает все добавленные, удалённые и изменённые строки. Это фундаментальная функция безопасности, позволяющая любому пользователю лично убедиться, что в обновлении нет вредоносного или нежелательного кода. Требование подтверждения: Обновление не произойдёт, пока пользователь не нажмёт кнопку "Перезаписать". Таким образом, никакого "внезапно прилетает обновление" без ведома и согласия пользователя в рекомендованной среде выполнения (Tampermonkey) произойти не может. Теперь к вашему скриншоту, где показана опция "Allow update, then notify". Возникает два вопроса: Что это за менеджер скриптов? Зачем вы используете менеджер скриптов, в котором обновления скачиваются без ведома пользователя?

Так это же не расширение, оно само без спроса не обновляется. Если я обновляю скрипт на Greasy Fork, то на некоторых браузерах людям нужно зайти на страницу и поставить обновление самостоятельно. На некоторых им прилетает уведомление мол скрипт обновился, там также обычно указываются куски кода, в которые были внесены изменения. Если хотят - могут нажать обновить, если не хотят - могут пойти и изучить.