如果我为开源Chrome应用程序上传.crx和.pem文件会不会安全?如果他们有两个文件,有人可以做什么?如果你有解压缩的扩展名(我理解,.crx文件是扩展本身),我认为无论如何都不需要文件,所以将文件上传到GitHub会让某人有机会做恶意的人(应该我gitignore文件),或者它是一种安全的方式来备份这些文件?
答案 0 :(得分:2)
Google Chrome扩展程序的pem文件是私钥,不应分发。获得pem文件的唯一方法是在自己的设备上打包扩展。虽然您可以这样做,但实用性有限,因为大多数用户无法通过文件而不是通过Chrome网上应用店安装扩展程序。
私钥用于保证将来的更新来自与原始扩展安装相同的源。拥有私钥的任何人都可以打包Chrome用户认为由您开发和部署的扩展程序。
注意:如果您有Chrome扩展程序pem文件且尚未将扩展程序发布到Chrome网上应用店,那么拥有私钥的任何人都可以创建扩展程序列表,所有现有用户都将自动更新为CWS版本
答案 1 :(得分:1)
.pem文件只是真实证书的shell。唯一的问题是它可以具有各种不同的有效载荷,例如仅仅是公共证书的私钥,甚至是整个证书链。如果你拥有的pem文件只是一个公共证书,你可以分发它。如果它有私钥,那么在任何情况下你都不应该把它交给任何人,因为他们可以冒充你。您可以使用portecle应用程序检查pem文件中的内容。快速谷歌搜索将带您进入应用程序主页。