Kontekst:Masz serwer sieciowy, który musi udostępniać ekskluzywną zawartość tylko wtedy, gdy twój klient ma zainstalowane określone rozszerzenie Chrome.Masz dwie możliwości udostępnienia pakietu rozszerzeń Chrome:Z Chrome Web StoreZ własnego serweraProblem:Istnieje mnóstwo rozwiązań pozwalających wiedzieć, że zainstalowane jest rozszerzenie Chrome:Wstawianie elementu, gdy strona internetowa jest ładowana za pomocąSkrypty treści.Wysyłanie określonych nagłówków do serwera za pomocąŻądania internetowe.Itp.Ale wydaje się, że nie ma rozwiązania, aby sprawdzić, czy rozszerzenie Chrome, które wchodzi w interakcję ze stroną internetową, jest oryginalne.Rzeczywiście, ponieważ kod źródłowy rozszerzenia Chrome może być oglądany i kopiowany przez każdego, kto chce,wydaje się, że nie ma sposobu, aby dowiedzieć się, czy aktualne rozszerzenie Chrome współpracujące z Twoją stroną internetową jest tym, które opublikowałeś lub sklonowaną wersję (i może nieco zmienioną) przez inną osobę.Wygląda na to, że wiesz tylko, że niektóre rozszerzenia Chrome wchodzą w interakcję ze stroną internetową w „oczekiwany sposób”, ale nie możesz zweryfikować jej autentyczności.Rozwiązanie?Jedno rozwiązanie może polegać na wykorzystaniu informacji zawartych w pakiecie rozszerzeń Chrome i które nie mogą być zmieniane ani kopiowane przez nikogo innego:Wysłanie identyfikatora rozszerzenia Chrome na serwer? Ale jak?Identyfikator musi zostać wysłany przez Ciebie i Twój kod JavaScript, a wydaje się, że nie ma sposobu, aby to zrobić za pomocą „wewnętrznej” funkcji Chrome.Jeśli więc ktoś inny wyśle ​​ten sam identyfikator na serwer (coś w rodzaju fałszowania ID rozszerzenia Chrome), serwer uzna jego rozszerzenie Chrome za prawdziwe!Używając klucza prywatnego, który służył podczas pakowania aplikacji? Ale jak?Wydaje się, że nie ma żadnego sposobu na programowy dostęp lub użycie w jakikolwiek sposób tego klucza!Jeszcze jedno rozwiązanie, które polegam na używaniuWtyczki NPAPI i osadzić metody uwierzytelniania, takie jak GPG itp. Ale to rozwiązanie nie jest pożądane głównie z powodu dużej sekcji „Ostrzeżenie”Dokument API.Czy jest jakieś inne rozwiązanie?Uwagi

To pytanie próbuje poruszyć rzeczywisty problem bezpieczeństwa w interfejsie API rozszerzenia Chrome: jak sprawdzić autentyczność rozszerzenia Chrome, gdy przychodzi do interakcji z usługami. Jeśli są jakieś brakujące możliwości lub jakiekolwiek nieporozumienia, prosimy pytać mnie w komentarzach.