扩展签名到底有何意义

当然初步是为了安全，权限太大的就不给签名，可是userchromeJS还是通过了签名，通过uc脚本很容易做各种坏事吧，也并不排除各种流氓扩展获得签名。

那么为什么不在扩展页面或者AMO上放上一个举报按钮呢，官方的签名到底能不能被撤销呢，难道官方就能保证自己的审核100%准确？

aunsen：昨晚群里讨论的还不激烈么回到原帖

根本就没讨论在点上 关键在官方审核的尺度到底是什么 如果所有扩展都能很方便获得签名 那么签名的意义到底何在

还有签名完还可以不在AMO上分发 这一块儿到底如何保证安全

aunsen：事实证明这都比签名制就是脱裤子放屁回到原帖

我还是觉得你签名是可以的 但不能不在AMO上分发 和chrome商店一样 因为至少AMO有评论啊

要么然你就别搞签名

kmc：哈你们居然还有个群回到原帖

你来不 我觉得还是邮件列表讨论为好
QQ群和论坛都是世风日下

yfdyh000：同样觉得架构思路很奇怪，设计是逐步演进（拆墙补墙），Mozilla有没有架构师啊……

签名撤销问题，同样有疑问，暂未看到类似机制，但也暂未细查。

AMO的举报问题，其实是有的，右下角的“报告滥用”，“如果您怀疑此附加组件违反我们...回到原帖

这里面还有一个代码层次的问题 由于firefox扩展签名是使用纯js写的 所以收到的局限性非常低 我们可以完全通过修改omni.ja组件来绕过签名 而根据源码的验证方案 内含的key也容易被反解出来 所以这也加深了扩展签名毫无意义的说法

因此，如果Mozilla想要变更这个局面，那么这段代码应该完全由C/C++改写，增加普通用户处理的难度，签名验证算法应该放在服务器进行，增加破解的难度，要么把omni.ja也进行签名，虽然会杀死大部分第三方编译版，但也实现了签名的最终目标

yfdyh000：签名验证部分没研究过，改成纯C++应该没问题。
但是，如果已能修改本地文件，并没有什么用，各种破解器也会出来，虽然会弄掉数字签名。
如果有第三方这么做，omni.ja应该也会签名化吧，虽然更加重了DIY用户的负担。

能反解吗？应该...回到原帖

然而官方使用的Google API Key可以推出来

我一直在用

AIzaSyD-s-mXL4mBzF7KMRkhTCIbG2RKnRGXzJc

teredarguiterep：就在代码里，都不用推。不过，你是怎么推的回到原帖

擦 在哪里啊 没发现啊

teredarguiterep：官方版 nsURLFormatter.js回到原帖

我知道了 并不在源码中 而在产品中是明文

yfdyh000：好厉害。不过这好像是会明文传出的？
--with-google-oauth-api-keyfile=/c/builds/google-oauth-api.key 也可以吗？回到原帖

官方不提供这个文件 没想到最终产品里有 代码里没有 害我费了那么多时间

catcat520：昨天跟了一下 firefox 源码 看看能不能绕过签名，看的头晕

最奇怪的是 签名文件的源码是 2010 年写好的，也就是说，有一个激活开关，来控制是否使用签名

加密部分粗略看了下，貌似用 密匙+hash 来验证各个文件，其实如果不是链...回到原帖

源码里粗略绕过很简单
改signingRequired的值或者signedState的值都可以

要考虑所有情况的话，复杂一些

官方版本到底如何修改，可以等到42版本到beta时说一下

catcat520：昨天改了 omni.ja 所有的这个值还是不行，不知道哪里出错回到原帖

我用电脑时看一看