0

ユーザーがデスクトップ ファイル システムをスキャンし、以前にアップロードした JPG 画像の元の高解像度バージョンを見つけてアップロードできるクロスプラットフォーム ヘルパー アプリを構築したいと考えています。スキャンは、ファイル名、EXIF データ、またはコンピューター ビジョン アルゴリズムを使用して視覚属性を比較することによって一致を試みる場合があります。

以下の文章を読んで、少し怖くなりました。

セキュリティに関する考慮事項 拡張機能に NPAPI プラグインを含めることは危険です。これは、プラグインがローカル マシンに無制限にアクセスできるためです。プラグインに脆弱性が含まれている場合、攻撃者はその脆弱性を悪用して、悪意のあるソフトウェアをユーザーのマシンにインストールできる可能性があります。代わりに、可能な限り NPAPI プラグインを含めることは避けてください。

もう 1 つのオプションは、バックグラウンドで実行されるネイティブ デスクトップ アプリをダウンロードしてインストールすることです。ただし、このアプローチでは、インターネット経由でローカル マシンとサーバーに無制限にアクセスすることもできます。

どちらのアプローチでも、ユーザーはネイティブ コードをダウンロード/インストールする必要がありますが、NPAPI プラグインには、簡単にアクセスでき、共通のフレームワークが約束されています。セキュリティの問題は同じですか、それともあるアプローチが別のアプローチよりも一般的に好まれるのでしょうか?

4

1 に答える 1

1

基本的に、プラグインと通常のアプリの両方に同じ種類のアクセス権があるため、どちらをインストールするにもかなりの信頼が必要です。ただし、攻撃面には違いがあります。通常、アプリケーションはユーザーのみが起動できるものですが、プラグインはすべての Web サイトからアクセスできます (選択した Web サイトへのアクセスを制限することは可能ですが、この保護自体が失敗する可能性があります)。また、NPAPI プラグインを Chrome 拡張機能にパッケージ化する場合は、そのような拡張機能を受け入れる前に Chrome Web ストアで手動レビューが必要であることを考慮する必要があります(また、Chrome 21 で行われた変更により、自分のサイトから拡張機能を配布することはほとんど絶望的です)。しかし、より良いユーザー エクスペリエンスを提供できる可能性があります。全体として、簡単な選択ではありません。

于 2012-08-22T14:58:53.603 に答える