如何签署我的分机,以便用户确保我的分机是安全的,并且不会窃取他们的信息?我的扩展需要访问页面内容,一些用户没有很好的意义允许扩展这样做。
我可以使用经过验证的签名提供商签署我的扩展程序,例如VeriSign吗?
答案 0 :(得分:2)
当您向Chrome网上应用店发布扩展程序时,唯一的"证明"用户可以拥有您的扩展程序由评级系统和其他用户的评论给出。想要安装扩展程序的假设用户会查看评分和评论,因此确保您的扩展程序得到用户的良好反馈。
顺便说一句, Google并不总是手动查看扩展程序的内部代码,大多数情况下它只会对代码执行一些启发式检查。因此问题在于,开发人员可以轻松地包含一些可能无法识别的恶意代码,这些代码可能会在其扩展中损害用户的隐私而不会出现任何问题。
因此,由于Chrome网上应用店政策,"验证"您的扩展程序根本不可能。此外,使用SSL服务(如您提到的那个)将没有任何意义,因为您的扩展程序的脚本存储在本地。
您可以做的是:
答案 1 :(得分:1)
您的扩展程序无法由外部提供商签名,但 已由Chrome网上应用店签名。
每个扩展程序都有一个用于签名的关联私钥。它确保一致的扩展ID和更新。您可以通过将扩展名打包为CRX(生成.pem文件)并在CWS上发布时提供它来自己生成一个,或者CWS在发布时在内部生成它(然后无法提取它)
从那时起,只有通过此密钥签名的代码(由Web Store引擎)才会被Chrome识别为更新。此外,至少在Windows上,只能安装CWS签名的包。
此安全性与开发者的Google帐户一样强大:如果它遭到入侵,CWS将接受您的扩展程序的更新,该更新将使用相同的密钥进行签名。
尽管正如马可在答案中正确指出的那样,签署某些东西的行为在安全方面只是蛇油。此签名验证发布者的身份,但仅此而已。
还有一个方面 - verified sites。如果您的扩展程序与您控制的网站进行互动,则可以通过将您的扩展程序与该网站相关联来对此进行认证。它将是visible in the Web Store。
CWS签署的软件包还有一个额外的保证,即“到目前为止,我们没有抓住这个扩展违反任何规则”。 Google可以将该扩展程序从网上应用商店中拉出来,并且在严重的情况下将其列入黑名单并从所有Chrome安装中删除这对用户来说是一个额外的保证。
每次提交扩展程序时,Google都会运行自动启发式检查,可以触发人工审核。但这对用户来说是不可见的。
那就是说,确保只询问您需要的绝对最低权限。例如,查看activeTab permission。当用户调用扩展时,它为选项卡提供完全主机权限,但不会导致任何权限警告。这是专门为解决有关一揽子扩展权限的问题而添加的。