-
当然初步是为了安全,权限太大的就不给签名,可是userchromeJS还是通过了签名,通过uc脚本很容易做各种坏事吧,也并不排除各种流氓扩展获得签名。那么为什么不在扩展页面或者AMO上放上一个举报按钮呢,官方的签名到底能不能被撤销呢,难道官方就能保证自己的审核100%准确?
◆
◆
-
pcxfirefox: 我用电脑时看一看(2015-09-04 10:49)
-
catcat520: 昨天改了 omni.ja 所有的这个值还是不行,不知道哪里出错(2015-09-04 10:32)
-
pcxfirefox: 源码里粗略绕过很简单 改signingRequired的值或者signedState的值都可以 要考虑所有情况的话,复杂一些 官方版本到底如何修改,可以等到42版本到beta时说一下(2015-09-04 09:38)
-
araki: 强制签名应该主要是针对恶意软件的(或是针对的目标之一),扩展是否启用可以通过修改Firefox的配置文件做到,而强制不允许安装未签名的扩展则可以阻断这一方法。 不过我倒是没怎么碰见过针对Firefox的恶意软件。(2015-09-04 08:35)
-
catcat520:其实 moziila 的想法没什么问题,做法很大问题,吃力不讨好 改成未签名的扩展统一默认不启用就好了么,小白用户自然不会手动去启用 firefox 的返利和推广也不会被修改 资深的用户自己启用,也不花什么力气 现在搞一个签名还要人工审核,且效果还不好,没必要(2015-09-04 03:37)
-
catcat520:昨天跟了一下 firefox 源码 看看能不能绕过签名,看的头晕 最奇怪的是 签名文件的源码是 2010 年写好的,也就是说,有一个激活开关,来控制是否使用签名 加密部分粗略看了下,貌似用 密匙+hash 来验证各个文件,其实如果不是链式加密,即使用在线模式 还是可以用类似...(2015-09-04 03:34)
-
yfdyh000: 强制签名主要针对恶意软件,他们有权限在Firefox的控制范围外修改Firefox的任何配置。 尽管这样的Firefox恶意扩展感觉屈指可数,但或许官方的视角和观点有很大差异。(2015-09-03 21:37)
-
dgod:强制签名意义确实不大,坏处更多,默认设置成只能安装amo上的扩展就完事了,类似android上的app那样。(2015-09-03 21:27)
-
pcxfirefox: 官方不提供这个文件 没想到最终产品里有 代码里没有 害我费了那么多时间(2015-09-03 14:48)
-
yfdyh000: 好厉害。不过这好像是会明文传出的? --with-google-oauth-api-keyfile=/c/builds/google-oauth-api.key 也可以吗?(2015-09-03 13:32)
