Установить расширение Chrome автоматически

Question

Я написал плагин NPAPI, и я хочу внедрить установщик NSIS, который может установить плагин автоматически.

Я много искал и обнаружил, что установка Chrome с помощью браузера Chrome v25, * .crx с использованием реестра Windows больше не работает (установленное расширение будет отключено по умолчанию). Кажется, что Google не разрешает никаких автоматических расширений без одобрения пользователем.

Однако, я также обнаружил, что если я установить плагин DLL (вместо CRX) на локальном компьютере пользователя и писать REG ключи HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ MozillaPlugins \ @ myplugin.com/MyPlugin с правильным путем длл, плагин можно было установить автоматически, пока мой пользователь загрузил и выполнил мой установщик без уведомления о том, что новый плагин будет установлен.

Мой вопрос в том, почему мой установщик работает? Это противоречит политике Google? Должен ли быть заблокирован или отключен все плагины, установленные под HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ MozillaPlugins?

Answer 1

Расширения и плагины NPAPI очень и очень разные, а также связанные с ними риски для пользователей, и поэтому они имеют разные политики.

Расширения не могут быть установлены молча, потому что они используются для установки вредоносных расширений, которые делают такие вещи, как изменение настроек браузера и затрудняют их изменение, легко собирают конфиденциальную информацию с посещенных пользователями сайтов, добавляют дополнительные объявления на каждый (и/или заменять объявления, которые поддерживают сайты с объявлениями, которые только платят авторам вредоносных программ) и т. д.

Плагины NPAPI, с другой стороны, ничего не делают в браузере, если специально не загружены страницей. Они не особенно интересны как вредоносное ПО, поскольку добавленная возможность, которую предоставляют плагины NPAPI, - это возможность запускать собственный код. Но если автор вредоносного ПО может заставить кого-то запустить установщик для установки плагина, он может так же легко установить что-то другое, а вместо этого запускает собственный код постоянно в фоновом режиме, а не только тогда, когда пользователь посещает сайт, который запускает плагин (и они могут гораздо легче скрыть это, чем плагин, который должен находиться в известном месте и отображается в Chrome).

Опасность использования NPAPI связана с эксплойтами уже установленных, не вредоносных плагинов, тогда как установка вредоносных расширений является реальной проблемой.