扩展签名到底有何意义

当然初步是为了安全，权限太大的就不给签名，可是userchromeJS还是通过了签名，通过uc脚本很容易做各种坏事吧，也并不排除各种流氓扩展获得签名。

那么为什么不在扩展页面或者AMO上放上一个举报按钮呢，官方的签名到底能不能被撤销呢，难道官方就能保证自己的审核100%准确？

catcat520：昨天改了 omni.ja 所有的这个值还是不行，不知道哪里出错回到原帖

我用电脑时看一看

pcxfirefox：源码里粗略绕过很简单
改signingRequired的值或者signedState的值都可以

要考虑所有情况的话，复杂一些

官方版本到底如何修改，可以等到42版本到beta时说一下回到原帖

昨天改了 omni.ja 所有的这个值还是不行，不知道哪里出错

catcat520：昨天跟了一下 firefox 源码 看看能不能绕过签名，看的头晕

最奇怪的是 签名文件的源码是 2010 年写好的，也就是说，有一个激活开关，来控制是否使用签名

加密部分粗略看了下，貌似用 密匙+hash 来验证各个文件，其实如果不是链...回到原帖

源码里粗略绕过很简单
改signingRequired的值或者signedState的值都可以

要考虑所有情况的话，复杂一些

官方版本到底如何修改，可以等到42版本到beta时说一下

catcat520：其实 moziila 的想法没什么问题，做法很大问题，吃力不讨好

改成未签名的扩展统一默认不启用就好了么，小白用户自然不会手动去启用

firefox 的返利和推广也不会被修改

资深的用户自己启用，也不花什么力气

现在搞一个签名还要人...回到原帖

强制签名应该主要是针对恶意软件的（或是针对的目标之一），扩展是否启用可以通过修改Firefox的配置文件做到，而强制不允许安装未签名的扩展则可以阻断这一方法。
不过我倒是没怎么碰见过针对Firefox的恶意软件。

其实 moziila 的想法没什么问题，做法很大问题，吃力不讨好

改成未签名的扩展统一默认不启用就好了么，小白用户自然不会手动去启用

firefox 的返利和推广也不会被修改

资深的用户自己启用，也不花什么力气

现在搞一个签名还要人工审核，且效果还不好，没必要

昨天跟了一下 firefox 源码 看看能不能绕过签名，看的头晕

最奇怪的是 签名文件的源码是 2010 年写好的，也就是说，有一个激活开关，来控制是否使用签名

加密部分粗略看了下，貌似用 密匙+hash 来验证各个文件，其实如果不是链式加密，即使用在线模式

还是可以用类似反汇编的手段在关键的 1 0 位置跳过验证

另外就是为啥 mozilla 要强推这个

感觉还是利益扯到关系，至少可以提高一些门槛，防止一部分扩展修改官方的返利和搜索引擎什么的

dgod：强制签名意义确实不大，坏处更多，默认设置成只能安装amo上的扩展就完事了，类似android上的app那样。回到原帖

强制签名主要针对恶意软件，他们有权限在Firefox的控制范围外修改Firefox的任何配置。
尽管这样的Firefox恶意扩展感觉屈指可数，但或许官方的视角和观点有很大差异。

强制签名意义确实不大，坏处更多，默认设置成只能安装amo上的扩展就完事了，类似android上的app那样。

yfdyh000：好厉害。不过这好像是会明文传出的？
--with-google-oauth-api-keyfile=/c/builds/google-oauth-api.key 也可以吗？回到原帖

官方不提供这个文件 没想到最终产品里有 代码里没有 害我费了那么多时间

pcxfirefox：然而官方使用的Google API Key可以推出来

我一直在用

AIzaSyD-s-mXL4mBzF7KMRkhTCIbG2RKnRGXzJc回到原帖

好厉害。不过这好像是会明文传出的？
--with-google-oauth-api-keyfile=/c/builds/google-oauth-api.key 也可以吗？

teredarguiterep：官方版 nsURLFormatter.js回到原帖

我知道了 并不在源码中 而在产品中是明文

pcxfirefox：擦 在哪里啊 没发现啊回到原帖

官方版 nsURLFormatter.js

teredarguiterep：就在代码里，都不用推。不过，你是怎么推的回到原帖

擦 在哪里啊 没发现啊

pcxfirefox：然而官方使用的Google API Key可以推出来

我一直在用

AIzaSyD-s-mXL4mBzF7KMRkhTCIbG2RKnRGXzJc回到原帖

就在代码里，都不用推。不过，你是怎么推的