Расширение OSS Chrome - стоит ли регистрировать файл pem?

Question

Я работаю над расширением Chrome с открытым исходным кодом.Должен ли я проверить в .pem файл для публичного репо?

Answer 1

Если вы хотите опубликовать свое приложение в галерее расширений Google Chrome , вам не нужен закрытый ключ или подпись вашего расширения. Вы просто заархивируете свою папку расширения и загрузите ее туда.

В противном случае, если вы планируете хостинг (см. внешние расширения для получения более подробной информации) или распространите его, поделившись упакованным расширением, вам потребуется закрытый ключ (.pem). Основная цель - узаконить происхождение продления. Если кто-то попытается установить ваше приложение, подписанное другим ключом, оно не будет признано вашим.

В этом случае я бы не рекомендовал проверять файл .pem, потому что, если ваша учетная запись была взломана, злоумышленник может загрузить или распространить несанкционированную версию вашего расширения (возможно, с вредоносным кодом). Делая это, вы никоим образом не закрываете источник своего расширения. Вы только гарантируете, что вы полностью контролируете то, что оно публикуется (и что ваша репутация издателя расширений остается неизменной).

Answer 2

Возможная проблема возникает, когда вы хотите создать расширение с открытым API для использования другими расширениями. Поскольку API обмена сообщениями в Chrome использует идентификатор расширения для маршрутизации сообщения к месту назначения, а идентификатор основан на ключе расширения, другие люди не смогут создавать совместимые производные расширения.

Я думаю, что инженеры Google просто не рассматривали возможность того, что люди захотят писать расширения с открытым исходным кодом. Я уведомил Google о проблеме, но на данный момент http://code.google.com/chrome/extensions/packaging.html не содержит каких-либо дополнительных указаний.