论坛
Firefox 桌面版
Firefox for Android
附加组件
RSS
搜索
登录
注册
pcxfirefox的个人空间
访问量
190
新鲜事
帖子
资料
https://www.firefox.net.cn/index.php?m=space&uid=39042
扩展签名到底有何意义
当然初步是为了安全,权限太大的就不给签名,可是userchromeJS还是通过了签名,通过uc脚本很容易做各种坏事吧,也并不排除各种流氓扩展获得签名。那么为什么不在扩展页面或者AMO上放上一个举报按钮呢,官方的签名到底能不能被撤销呢,难道官方就能保证自己的审核100%准确?
回复
(
27
)
2015-09-01 17:31
来自版块 -
Firefox 正式版和测试版
◆
◆
表情
告诉我的粉丝
提 交
pcxfirefox
:
我知道了 并不在源码中 而在产品中是明文
(2015-09-03 13:04)
回复
teredarguiterep
:
官方版 nsURLFormatter.js
(2015-09-03 12:58)
回复
pcxfirefox
:
擦 在哪里啊 没发现啊
(2015-09-03 12:56)
回复
teredarguiterep
:
就在代码里,都不用推。不过,你是怎么推的
(2015-09-03 12:53)
回复
pcxfirefox
:
然而官方使用的Google API Key可以推出来 我一直在用 AIzaSyD-s-mXL4mBzF7KMRkhTCIbG2RKnRGXzJc
(2015-09-03 12:43)
回复
yfdyh000
:
签名验证部分没研究过,改成纯C++应该没问题。 但是,如果已能修改本地文件,并没有什么用,各种破解器也会出来,虽然会弄掉数字签名。 如果有第三方这么做,omni.ja应该也会签名化吧,虽然更加重了DIY用户的负担。 能反解吗?应该不能吧,不然早就各路自制签名了,数字签...
(2015-09-02 15:43)
回复
kmc
:
我还是上论坛吧
(2015-09-02 15:29)
回复
pcxfirefox
:
这里面还有一个代码层次的问题 由于firefox扩展签名是使用纯js写的 所以收到的局限性非常低 我们可以完全通过修改omni.ja组件来绕过签名 而根据源码的验证方案 内含的key也容易被反解出来 所以这也加深了扩展签名毫无意义的说法 因此,如果Mozilla想要变更这个局...
(2015-09-02 12:21)
回复
yfdyh000
:
同样觉得架构思路很奇怪,设计是逐步演进(拆墙补墙),Mozilla有没有架构师啊…… 签名撤销问题,同样有疑问,暂未看到类似机制,但也暂未细查。 AMO的举报问题,其实是有的,右下角的“报告滥用”,“如果您怀疑此附加组件违反我们的政策或有安全、隐私方面的问题,请在下面...
(2015-09-02 02:32)
回复
superzz
:
支持楼主。 应该加个举报按钮。
(2015-09-01 19:57)
回复
« 上一页
1
2
3
下一页 »
pcxfirefox
加关注
写私信
6
关注
31
粉丝
2539
帖子
返回顶部