Chrome 拡張機能を介して起動する Chrome ネイティブ メッセージングを使用してアプリケーションを開発しています。
私の質問は次のとおりです: ホスト アプリケーションが実際に私が提供したものと同じであることを確認するにはどうすればよいですか?
拡張機能によって呼び出されたアプリケーションの信頼性を確保する必要があります。レジストリを読み取ったり、何かが変更されたかどうかを確認したりする権限がない場合、どうすれば取得できますか?
3 に答える
2
これは素晴らしい質問です。私の推測では、答えは「残念ながらできません」です。
Chrome が拡張ファイルを検証するために使用するような、ある種の暗号化ハッシュを実装することは興味深いことですが、それは非常に強力な保証ではありません。
考慮してください(このすべては仮説です):
- この方法でレジストリ エントリ / マニフェストを簡単に保護できますが、ファイル自体はどうでしょうか。
- 実行可能ファイルのハッシュを固定すると、それを更新するのが難しくなります (拡張機能も同期して更新する必要があります)。ハッシュの代わりに、ある種の公開鍵署名で解決できます。
- 実行可能ファイルをマニフェストに固定するとします。そのデータファイルはどうですか?さらに重要なことは、ネイティブ アプリが使用するライブラリについてはどうでしょうか。
依存する唯一の「ライブラリ」/ランタイムは Chrome 自体であるため、Chrome 拡張機能/アプリを保護するのは簡単です (そして、それを信頼します)。ネイティブ アプリは、システム上の非常に多くのもの (前述のライブラリなど) に依存する可能性があります。どのように追跡しますか?
とにかく、これはブレインストーミングにとって興味深いことのようです。似たようなものがすでにある場合は Chromeバグ トラッカーを調べてください。そうでない場合は、機能リクエストを作成してみてください。開発者に質問するために、Chromium 関連のメーリング リストを試してみてください。
于 2015-04-07T20:07:32.097 に答える