论坛
Firefox 桌面版
Firefox for Android
附加组件
RSS
搜索
登录
注册
pcxfirefox的个人空间
访问量
190
新鲜事
帖子
资料
https://www.firefox.net.cn/index.php?m=space&uid=39042
扩展签名到底有何意义
当然初步是为了安全,权限太大的就不给签名,可是userchromeJS还是通过了签名,通过uc脚本很容易做各种坏事吧,也并不排除各种流氓扩展获得签名。那么为什么不在扩展页面或者AMO上放上一个举报按钮呢,官方的签名到底能不能被撤销呢,难道官方就能保证自己的审核100%准确?
回复
(
27
)
2015-09-01 17:31
来自版块 -
Firefox 正式版和测试版
◆
◆
表情
告诉我的粉丝
提 交
pcxfirefox
:
我用电脑时看一看
(2015-09-04 10:49)
回复
catcat520
:
昨天改了 omni.ja 所有的这个值还是不行,不知道哪里出错
(2015-09-04 10:32)
回复
pcxfirefox
:
源码里粗略绕过很简单 改signingRequired的值或者signedState的值都可以 要考虑所有情况的话,复杂一些 官方版本到底如何修改,可以等到42版本到beta时说一下
(2015-09-04 09:38)
回复
araki
:
强制签名应该主要是针对恶意软件的(或是针对的目标之一),扩展是否启用可以通过修改Firefox的配置文件做到,而强制不允许安装未签名的扩展则可以阻断这一方法。 不过我倒是没怎么碰见过针对Firefox的恶意软件。
(2015-09-04 08:35)
回复
catcat520
:
其实 moziila 的想法没什么问题,做法很大问题,吃力不讨好 改成未签名的扩展统一默认不启用就好了么,小白用户自然不会手动去启用 firefox 的返利和推广也不会被修改 资深的用户自己启用,也不花什么力气 现在搞一个签名还要人工审核,且效果还不好,没必要
(2015-09-04 03:37)
回复
catcat520
:
昨天跟了一下 firefox 源码 看看能不能绕过签名,看的头晕 最奇怪的是 签名文件的源码是 2010 年写好的,也就是说,有一个激活开关,来控制是否使用签名 加密部分粗略看了下,貌似用 密匙+hash 来验证各个文件,其实如果不是链式加密,即使用在线模式 还是可以用类似...
(2015-09-04 03:34)
回复
yfdyh000
:
强制签名主要针对恶意软件,他们有权限在Firefox的控制范围外修改Firefox的任何配置。 尽管这样的Firefox恶意扩展感觉屈指可数,但或许官方的视角和观点有很大差异。
(2015-09-03 21:37)
回复
dgod
:
强制签名意义确实不大,坏处更多,默认设置成只能安装amo上的扩展就完事了,类似android上的app那样。
(2015-09-03 21:27)
回复
pcxfirefox
:
官方不提供这个文件 没想到最终产品里有 代码里没有 害我费了那么多时间
(2015-09-03 14:48)
回复
yfdyh000
:
好厉害。不过这好像是会明文传出的? --with-google-oauth-api-keyfile=/c/builds/google-oauth-api.key 也可以吗?
(2015-09-03 13:32)
回复
1
2
3
下一页 »
pcxfirefox
加关注
写私信
6
关注
31
粉丝
2539
帖子
返回顶部