为我的开源 chrome 扩展上传我的 .crk 和 .pem 文件是否安全?
Is it safe to upload my .crk and .pem file for my open source chrome extension?
如果我为开源 chrome 应用程序上传 .crx 和 .pem 文件是否安全?如果有人拥有这两个文件,他们可以做什么?我假设如果您有解压缩的扩展名(据我了解,.crx 文件就是扩展名本身),无论如何都不需要这些文件,所以将文件上传到 GitHub 会给某人机会做一些恶意的事情(我应该忽略这些文件),还是备份这些文件是一种安全的方法?
.pem 文件只是一个 shell 的真实证书。唯一的问题是它可以有各种不同的有效负载,比如 public 证书甚至整个证书链的私钥。如果您拥有的 pem 文件只是一个 public 证书,您可以分发它。如果它有私钥,那么在任何情况下你都不应该把它给任何人,因为他们可以冒充你。您可以使用 portecle 应用程序检查 pem 文件中的内容。快速 google 搜索会将您带到应用程序主页。
Google Chrome 扩展的 pem 文件是私钥,不应分发。获得 pem 文件的唯一方法是在您自己的设备上打包扩展。虽然您可以这样做,但实用性有限,因为大多数用户将无法通过文件而不是通过 Chrome 网上商店安装扩展。
私钥用于保证未来的更新来自与原始扩展安装相同的来源。任何拥有私钥的人都可以打包 Chrome 用户认为是由您开发和部署的扩展。
注意:如果您有 Chrome 扩展 pem 文件并且尚未将扩展发布到 Chrome 网上商店,任何拥有私钥的人都可以创建扩展列表,并且所有现有用户将自动更新到 CWS 版本。
如果我为开源 chrome 应用程序上传 .crx 和 .pem 文件是否安全?如果有人拥有这两个文件,他们可以做什么?我假设如果您有解压缩的扩展名(据我了解,.crx 文件就是扩展名本身),无论如何都不需要这些文件,所以将文件上传到 GitHub 会给某人机会做一些恶意的事情(我应该忽略这些文件),还是备份这些文件是一种安全的方法?
.pem 文件只是一个 shell 的真实证书。唯一的问题是它可以有各种不同的有效负载,比如 public 证书甚至整个证书链的私钥。如果您拥有的 pem 文件只是一个 public 证书,您可以分发它。如果它有私钥,那么在任何情况下你都不应该把它给任何人,因为他们可以冒充你。您可以使用 portecle 应用程序检查 pem 文件中的内容。快速 google 搜索会将您带到应用程序主页。
Google Chrome 扩展的 pem 文件是私钥,不应分发。获得 pem 文件的唯一方法是在您自己的设备上打包扩展。虽然您可以这样做,但实用性有限,因为大多数用户将无法通过文件而不是通过 Chrome 网上商店安装扩展。
私钥用于保证未来的更新来自与原始扩展安装相同的来源。任何拥有私钥的人都可以打包 Chrome 用户认为是由您开发和部署的扩展。
注意:如果您有 Chrome 扩展 pem 文件并且尚未将扩展发布到 Chrome 网上商店,任何拥有私钥的人都可以创建扩展列表,并且所有现有用户将自动更新到 CWS 版本。