Firmar una extensión de navegador

9

Quiero poner una extensión del navegador a disposición de los usuarios. ¿Puedo firmar mi extensión para que los usuarios puedan verificar que sea auténtico, sin tener que confiar en el sitio web del que obtuvieron la extensión ni la seguridad de su conexión de red? ¿Qué navegadores admiten extensiones firmadas que los usuarios puedan verificar fácilmente?

    
pregunta D.W. 16.04.2013 - 04:56
fuente

1 respuesta

14
  • Firefox : sí. Firme su archivo .xpi con xpisign.py (con un certificado de un emisor de confianza, como Verisign). < br> Integridad: Firefox informará un complemento corrupto si los hashes no coinciden.
    Verificación: el usuario solo necesita ver si el indicador de instalación del complemento dice "Nombre de la extensión (nombre del desarrollador)" en lugar de "Nombre de la extensión (autor no verificado)"
  • Chrome : sí. El archivo .crx es un archivo zip precedido por una clave pública y la firma del contenido zip . Integridad: Chrome abortará la instalación y mostrará CRX_SIGNATURE_VERIFICATION_FAILED si la firma de la extensión no es válida.
    Integridad: (método alternativo) Corte los encabezados del archivo crx y extraiga la clave pública y la firma. Compruebe si la firma es correcta.
    Verificación: compruebe si la clave pública coincide con su clave.
  • Opera : el archivo .oex (= un archivo zip sin formato) no se puede firmar.
    Opera 15+ : el archivo .nex o .crx tiene la el mismo formato que el archivo .crx de Chromium.
  • Safari : solo puede instalar una extensión de Safari si está firmada con una clave que coincida con un certificado firmado por Apple. Más información sobre la firma de archivos .safariextz .
    Integridad: Safari se niega a instalar extensiones inválidas.
    Verificación: Extraiga los certificados de la extensión usando xar -f path/to/name.safariextz --extract-certs output_dir . Luego verifique si el primer certificado ( output_dir/cert00 ) es idéntico al certificado del desarrollador (o al menos verifique si las propiedades (como la identificación y el nombre del desarrollador) son verosímiles).

  • Internet Explorer : las "extensiones" son archivos .dll ( BHO , aceleradores, ...) que se pueden firmar, usando signtool , por ejemplo.
    Verificación: observe las propiedades del archivo y verifique si la firma es válida por Windows.

  • ( NPAPI ) complementos : los archivos binarios de los complementos pueden estar firmado.

respondido por el Rob W 16.04.2013 - 09:41
fuente

Lea otras preguntas en las etiquetas