Google chrome extension NPAPI插件的安全问题是否与连接到internet的可下载应用程序相同
我想构建一个跨平台的帮助程序,让我的用户扫描桌面文件系统,找到/上传他们之前上传的JPG图像的原始高分辨率版本。扫描可能会尝试通过文件名、EXIF数据或使用计算机视觉算法比较视觉属性进行匹配 我读了以下内容,有点害怕: 安全注意事项 在扩展中包含NPAPI插件是危险的,因为插件可以不受限制地访问本地计算机。如果您的插件包含漏洞,攻击者可能会利用该漏洞在用户的计算机上安装恶意软件。相反,尽可能避免包含NPAPI插件 我的另一个选择是构建一个在后台运行的下载/安装本机桌面应用程序。但这种方法也可以通过互联网对本地机器+我的服务器进行无限制访问Google chrome extension NPAPI插件的安全问题是否与连接到internet的可下载应用程序相同,google-chrome-extension,firefox-addon,npapi,Google Chrome Extension,Firefox Addon,Npapi,我想构建一个跨平台的帮助程序,让我的用户扫描桌面文件系统,找到/上传他们之前上传的JPG图像的原始高分辨率版本。扫描可能会尝试通过文件名、EXIF数据或使用计算机视觉算法比较视觉属性进行匹配 我读了以下内容,有点害怕: 安全注意事项 在扩展中包含NPAPI插件是危险的,因为插件可以不受限制地访问本地计算机。如果您的插件包含漏洞,攻击者可能会利用该漏洞在用户的计算机上安装恶意软件。相反,尽可能避免包含NPAPI插件 我的另一个选择是构建一个在后台运行的下载/安装本机桌面应用程序。但这种方法也可以通
这两种方法都要求用户下载/安装本机代码,但NPAPI插件承诺更容易访问,并且有一个通用的框架。那么,安全问题是相同的还是一种方法通常优于另一种方法?本质上,插件和常规应用程序都具有相同的访问权限,因此安装任何一种都需要相当多的信任。然而,攻击面有一个区别:虽然应用程序通常只能由用户启动,但每个网站都可以访问插件(限制对选定网站的访问是可能的,但这种保护本身可能会失败)。此外,如果你想在Chrome扩展包中打包NAPAPI插件,你必须考虑到(并且在Chrome 21中进行的扩展对你自己站点的扩展是毫无希望的)。但它有可能提供更好的用户体验。总而言之:这不是一个容易的选择