-
当然初步是为了安全,权限太大的就不给签名,可是userchromeJS还是通过了签名,通过uc脚本很容易做各种坏事吧,也并不排除各种流氓扩展获得签名。那么为什么不在扩展页面或者AMO上放上一个举报按钮呢,官方的签名到底能不能被撤销呢,难道官方就能保证自己的审核100%准确?
◆
◆
-
pcxfirefox: 我知道了 并不在源码中 而在产品中是明文(2015-09-03 13:04)
-
teredarguiterep: 官方版 nsURLFormatter.js(2015-09-03 12:58)
-
pcxfirefox: 擦 在哪里啊 没发现啊(2015-09-03 12:56)
-
teredarguiterep: 就在代码里,都不用推。不过,你是怎么推的(2015-09-03 12:53)
-
pcxfirefox: 然而官方使用的Google API Key可以推出来 我一直在用 AIzaSyD-s-mXL4mBzF7KMRkhTCIbG2RKnRGXzJc (2015-09-03 12:43)
-
yfdyh000: 签名验证部分没研究过,改成纯C++应该没问题。 但是,如果已能修改本地文件,并没有什么用,各种破解器也会出来,虽然会弄掉数字签名。 如果有第三方这么做,omni.ja应该也会签名化吧,虽然更加重了DIY用户的负担。 能反解吗?应该不能吧,不然早就各路自制签名了,数字签...(2015-09-02 15:43)
-
kmc: 我还是上论坛吧(2015-09-02 15:29)
-
pcxfirefox: 这里面还有一个代码层次的问题 由于firefox扩展签名是使用纯js写的 所以收到的局限性非常低 我们可以完全通过修改omni.ja组件来绕过签名 而根据源码的验证方案 内含的key也容易被反解出来 所以这也加深了扩展签名毫无意义的说法 因此,如果Mozilla想要变更这个局...(2015-09-02 12:21)
-
yfdyh000:同样觉得架构思路很奇怪,设计是逐步演进(拆墙补墙),Mozilla有没有架构师啊…… 签名撤销问题,同样有疑问,暂未看到类似机制,但也暂未细查。 AMO的举报问题,其实是有的,右下角的“报告滥用”,“如果您怀疑此附加组件违反我们的政策或有安全、隐私方面的问题,请在下面...(2015-09-02 02:32)
支持楼主。
应该加个举报按钮。
