我编写了一个NPAPI插件,我想实现一个可以自动安装插件的NSIS安装程序。
我搜索了很多内容,发现从Chrome浏览器v25开始,使用Windows注册表的* .crx软件包安装不再起作用(默认情况下,已安装的扩展名将被禁用)。看起来 未经用户批准,Google不允许任何自动扩展安装。
但是,我还发现如果我在用户的本地计算机上安装插件dll(而不是crx)并将reg键写入 HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ MozillaPlugins \ @ myplugin.com / myplugin具有正确的dll路径,只要我的用户下载并执行了我的安装程序,插件就可以自动安装,而不会通知新的插件将被安装。< / p>
我的问题是为什么我的安装程序有效?这与谷歌的政策相矛盾吗? 默认情况下,是否应该阻止或禁用HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ MozillaPlugins下安装的所有插件?
答案 0 :(得分:1)
扩展程序和NPAPI插件非常非常不同,对用户的相关风险也是如此,因此它们有不同的策略。
无法以静默方式安装扩展程序,因为最终会用于安装恶意扩展程序,例如更改浏览器设置并使其难以更改,轻松从用户访问的网站收集敏感信息,在每个网站上注入额外广告用户访问(和/或替换支持网站的广告,该广告只支付恶意软件作者的费用)等。
另一方面,NPAPI插件在浏览器中完全不做任何事情,除非页面特意加载。它们作为恶意软件并不是特别有趣,因为NPAPI插件为您提供的附加功能是能够运行本机代码。但是,如果恶意软件作者可以让某人运行安装程序来安装插件,那么他们可以轻松地安装其他内容而不是在后台连续运行本机代码,而不仅仅是当用户访问触发插件的网站时(而且他们可以更容易地隐藏它,而不是一个插件,它必须在一个已知的位置,并显示在Chrome中。)NPAPI的危险在于已经安装的非恶意插件的利用,而恶意扩展的安装是一个真正的问题。