【发布时间】:2015-11-25 00:58:27
【问题描述】:
是否可以对基于 XUL 的 Firefox 插件进行签名,或者只能使用新的 SDK 进行签名?
【问题讨论】:
【发布时间】:2015-11-25 00:58:27
【问题描述】:
所有扩展名,无论是Overlay、Restartless/Bootstrapped、Add-on SDK,还是基于WebExtensions API 的新扩展名can be signed。
过去,单个扩展作者可以选择自己签署他们的扩展。不久前,Mozilla 更改了他们的政策,即所有扩展都必须提交给 AMO 并由 Mozilla 签名。 Specifically, they say:
Mozilla 将开始要求对所有扩展进行签名,以便它们可以安装在 Firefox 的发行版和 Beta 版中。签名将通过addons.mozilla.org (AMO) 完成,并且对于所有扩展都是强制性的,无论它们托管在哪里。
从Firefox 40 开始,用户会收到有关未经 Mozilla 签名的任何扩展的警告。
从Firefox 43 开始,默认情况下不允许安装未签名的扩展。但是,可以将首选项(about:config 中的xpinstall.signatures.required)设置为false 以允许安装它们。
Mozilla 已在多个地方声明,从 Firefox 44 开始扩展 must be signed to be installed in the release or beta versions of Firefox。然而,与 Mozilla 所说的相反,在 Firefox 44.0b1(beta 1)中,将 xpinstall.signatures.required 设置为 false 仍然允许安装和运行未签名的扩展(在 Win7x64 上使用 FF 44.0b1 x64 进行了测试)。
AMO 上未列出的开发替代方案或扩展:
Firefox Developer Edition 和 Nightly 构建不需要对扩展进行签名。
对于经过全面审查的插件,如果它们通过自动验证,插件的beta channel will be immediately signed without any manual review。
对于未在 AMO 中列出的附加组件,Mozilla 将sign the add-on immediately,只要它通过自动代码验证器且没有错误(警告正常)。
Mozilla has released (more detail) 和 add-on signing API。此 API 允许您以编程方式提交要签名的插件(.xpi 文件或插件 SDK 代码)并接收签名的插件,只要它通过自动代码验证器且没有错误(警告是好的)。
Mozilla 已在多个地方声明将有允许安装未签名附加组件的无品牌版本的 Firefox(测试版和发行版)。但是,没有关于此的进一步信息。随着签名 API 的发布,Mozilla 似乎不太可能跟进并实际提供此类无品牌版本。
【讨论】:
-
@tofutim:是的,由 Mozilla 通过 AMO 签名。
-
@tofutim,更多信息基于使用 Firefox beta 44.0b1 进行的测试、可用于开发插件的选项和未列出的插件。