Voglio rendere disponibile un'estensione del browser per gli utenti. Posso firmare la mia estensione in modo che gli utenti possano verificare che siano autentici, senza la necessità di fidarsi del sito Web da cui hanno ottenuto l'estensione o della sicurezza della loro connessione di rete? Quali browser supportano le estensioni firmate che sono facili da verificare per gli utenti?
.xpi utilizzando xpisign.py (con un certificato di un emittente fidato, come Verisign). < br>
Integrità: Firefox segnalerà un componente aggiuntivo corrotto se gli hash non corrispondono. .crx è un file zip preceduto da una chiave pubblica e la firma del contenuto di zip . CRX_SIGNATURE_VERIFICATION_FAILED se la firma dell'estensione non è valida. .oex (= un file zip semplice) non può essere firmato. .nex o .crx ha il stesso formato del file .crx di Chromium. Safari : puoi installare un'estensione Safari solo se è firmata con una chiave che corrisponde a un certificato firmato da Apple. Ulteriori informazioni sulla firma di file .safariextz .
Integrità: Safari si rifiuta di installare estensioni non valide.
Verifica: estrai i certificati dall'estensione utilizzando xar -f path/to/name.safariextz --extract-certs output_dir . Quindi verifica se il primo certificato ( output_dir/cert00 ) è identico al certificato dello sviluppatore (o almeno controlla se le proprietà (come l'ID e il nome dello sviluppatore) sono plausibili).
Internet Explorer : le "estensioni" sono .dll file ( BHO , acceleratori, ...) che possono essere firmati, utilizzando Microsoft signtool per esempio.
Verifica: guarda le proprietà del file e controlla se la firma è ritenuta valida da Windows.
( NPAPI ) plug-in : i binari del plug-in possono essere firmato.
Leggi altre domande sui tag code-signing browser-extensions