Quiero poner una extensión del navegador a disposición de los usuarios. ¿Puedo firmar mi extensión para que los usuarios puedan verificar que sea auténtico, sin tener que confiar en el sitio web del que obtuvieron la extensión ni la seguridad de su conexión de red? ¿Qué navegadores admiten extensiones firmadas que los usuarios puedan verificar fácilmente?
.xpi con xpisign.py (con un certificado de un emisor de confianza, como Verisign). < br>
Integridad: Firefox informará un complemento corrupto si los hashes no coinciden. .crx es un archivo zip precedido por una clave pública y la firma del contenido zip .
Integridad: Chrome abortará la instalación y mostrará CRX_SIGNATURE_VERIFICATION_FAILED si la firma de la extensión no es válida. .oex (= un archivo zip sin formato) no se puede firmar. .nex o .crx tiene la el mismo formato que el archivo .crx de Chromium. Safari : solo puede instalar una extensión de Safari si está firmada con una clave que coincida con un certificado firmado por Apple. Más información sobre la firma de archivos .safariextz .
Integridad: Safari se niega a instalar extensiones inválidas.
Verificación: Extraiga los certificados de la extensión usando xar -f path/to/name.safariextz --extract-certs output_dir . Luego verifique si el primer certificado ( output_dir/cert00 ) es idéntico al certificado del desarrollador (o al menos verifique si las propiedades (como la identificación y el nombre del desarrollador) son verosímiles).
Internet Explorer : las "extensiones" son archivos .dll ( BHO , aceleradores, ...) que se pueden firmar, usando signtool , por ejemplo.
Verificación: observe las propiedades del archivo y verifique si la firma es válida por Windows.
( NPAPI ) complementos : los archivos binarios de los complementos pueden estar firmado.
Lea otras preguntas en las etiquetas browser-extensions code-signing