阅读:5394回复:27
扩展签名到底有何意义
当然初步是为了安全,权限太大的就不给签名,可是userchromeJS还是通过了签名,通过uc脚本很容易做各种坏事吧,也并不排除各种流氓扩展获得签名。
那么为什么不在扩展页面或者AMO上放上一个举报按钮呢,官方的签名到底能不能被撤销呢,难道官方就能保证自己的审核100%准确? |
|
|
1楼#
发布于:2015-09-01 17:39
|
|
|
2楼#
发布于:2015-09-01 17:47
|
|
|
3楼#
发布于:2015-09-01 18:11
|
|
|
4楼#
发布于:2015-09-02 12:21
yfdyh000:同样觉得架构思路很奇怪,设计是逐步演进(拆墙补墙),Mozilla有没有架构师啊……这里面还有一个代码层次的问题 由于firefox扩展签名是使用纯js写的 所以收到的局限性非常低 我们可以完全通过修改omni.ja组件来绕过签名 而根据源码的验证方案 内含的key也容易被反解出来 所以这也加深了扩展签名毫无意义的说法 因此,如果Mozilla想要变更这个局面,那么这段代码应该完全由C/C++改写,增加普通用户处理的难度,签名验证算法应该放在服务器进行,增加破解的难度,要么把omni.ja也进行签名,虽然会杀死大部分第三方编译版,但也实现了签名的最终目标 |
|
|
5楼#
发布于:2015-09-03 12:43
|
|
|
6楼#
发布于:2015-09-03 12:56
teredarguiterep:就在代码里,都不用推。不过,你是怎么推的回到原帖擦 在哪里啊 没发现啊 |
|
|
7楼#
发布于:2015-09-03 13:04
teredarguiterep:官方版 nsURLFormatter.js回到原帖我知道了 并不在源码中 而在产品中是明文 |
|
|
8楼#
发布于:2015-09-03 14:48
|
|
|
9楼#
发布于:2015-09-04 09:38
|
|
|
10楼#
发布于:2015-09-04 10:49
|
|
|