如何确保浏览器扩展和本机主机之间的安全通信?

How can I ensure secure communication between my browser extension and native host?

提问人:Moaz Fathy 提问时间:5/28/2023 最后编辑:Moaz Fathy 更新时间:5/29/2023 访问量:76

问:

我正在构建一个应用程序,用于在扩展程序和本机主机之间交换敏感数据。我意识到两者之间的通信是通过命名管道完成的(见这里)。这意味着,据我了解,其他进程可以读取/写入此管道。如果我们在最终用户计算机上有一个恶意进程,这可能会很危险,这让我想到了几个问题:

  • 保护分机和 NH 之间通信的最佳做法是什么?
  • 为什么 Chromium 使用命名管道而不是匿名管道,以及 Chromium 是否有可能将其更改为未命名管道?
  1. 使用本机主机运行扩展
  2. 使用 PipeList 查看窗口中的现有管道
  3. 您可以获取本机主机管道名称

我希望本机主机管道对其他进程隐藏。

注意:之前已经问过类似的问题,但旧版本可能已经过时,并不是我想要的。

安全 google-chrome-extension chromium named-pipes chrome-native-messaging

评论

0赞 Thomas Mueller 5/29/2023
1)“看到这里”应该链接到什么?- 2) 你提到了一个以前被问过的类似问题。为了完整起见,你能链接到它吗?- 3) 我不知道解决这个问题的最佳实践是什么,因为直到现在,我什至没有意识到这可能是一个问题。但我想你必须加密敏感数据。
0赞 Moaz Fathy 5/29/2023
1)谢谢。2)我似乎无法使用Google找到问题。我可能会稍后再试一次。3)加密可能是一种解决方案,但它需要安全的密钥交换,这需要标准化,而不是由开发人员实现。
0赞 Asesh 5/30/2023
Chromium 是开源的,您可以对其进行修改。此外,本机消息传递主机和扩展之间的通信在设计时没有考虑到安全性,也没有设计用于传输大量数据。

答: 暂无答案

上一个:如何将更新应用于为 Google Chrome 和 Edge 发布的扩展程序

下一个:如何将“Referer”标头添加到使用清单 V3 进行的扩展中进行的网络调用?