Javascript OSS Chrome扩展名-我应该签入pem文件吗?
我正在开发一个开源的Chrome扩展。我是否应该将.pem文件签入公共回购?如果您愿意在中发布应用程序,则不需要私钥或签名扩展名。你只需压缩你的扩展文件夹并上传到那里 否则,如果您计划通过共享打包扩展来承载(有关更多详细信息,请参阅)或分发它,则需要私钥(.pem)。主要目的是使延伸的起源合法化。如果有人试图安装使用其他密钥签名的应用程序,它将不会被识别为您的应用程序Javascript OSS Chrome扩展名-我应该签入pem文件吗?,javascript,open-source,google-chrome,google-chrome-extension,Javascript,Open Source,Google Chrome,Google Chrome Extension,我正在开发一个开源的Chrome扩展。我是否应该将.pem文件签入公共回购?如果您愿意在中发布应用程序,则不需要私钥或签名扩展名。你只需压缩你的扩展文件夹并上传到那里 否则,如果您计划通过共享打包扩展来承载(有关更多详细信息,请参阅)或分发它,则需要私钥(.pem)。主要目的是使延伸的起源合法化。如果有人试图安装使用其他密钥签名的应用程序,它将不会被识别为您的应用程序 在这种情况下,我不建议签入.pem文件,因为如果您的帐户遭到破坏,攻击者可以上载或分发被篡改的扩展版本(可能带有恶意代码)。这样
在这种情况下,我不建议签入.pem文件,因为如果您的帐户遭到破坏,攻击者可以上载或分发被篡改的扩展版本(可能带有恶意代码)。这样做,您就不会以任何方式关闭扩展的源代码。您只需确保完全控制发布内容(并确保您作为扩展发布者的声誉完好无损)。如果您愿意在中发布应用程序,则无需私钥或签署扩展。你只需压缩你的扩展文件夹并上传到那里 否则,如果您计划通过共享打包扩展来承载(有关更多详细信息,请参阅)或分发它,则需要私钥(.pem)。主要目的是使延伸的起源合法化。如果有人试图安装使用其他密钥签名的应用程序,它将不会被识别为您的应用程序
在这种情况下,我不建议签入.pem文件,因为如果您的帐户遭到破坏,攻击者可以上载或分发被篡改的扩展版本(可能带有恶意代码)。这样做,您就不会以任何方式关闭扩展的源代码。您只需确保完全控制发布内容(并确保您作为扩展发布者的声誉完好无损)。如果您希望使用公共API创建扩展以供其他扩展使用,则可能会出现问题。由于Chrome的消息API使用扩展的id将消息路由到目的地,并且id基于扩展的密钥,其他人将无法创建兼容的派生扩展
我认为谷歌的工程师根本没有考虑人们可能想要编写开源扩展的可能性。我已经将这个问题通知了谷歌,但目前似乎没有包含任何额外的指导。当您想要创建一个带有公共API的扩展以供其他扩展使用时,可能会出现问题。由于Chrome的消息API使用扩展的id将消息路由到目的地,并且id基于扩展的密钥,其他人将无法创建兼容的派生扩展 我认为谷歌的工程师根本没有考虑人们可能想要编写开源扩展的可能性。我已经通知了谷歌这个问题,但目前似乎没有包含任何额外的指导