0

我想构建一个跨平台帮助应用程序,让我的用户扫描桌面文件系统并查找/上传他们之前上传的原始、高分辨率版本的 JPG 图像。扫描可能会尝试通过文件名、EXIF 数据或通过使用计算机视觉算法比较视觉属性来进行匹配。

我读了以下内容,有点害怕:

安全考虑 在你的扩展中包含一个 NPAPI 插件是危险的,因为插件可以不受限制地访问本地机器。如果您的插件包含漏洞,攻击者可能能够利用该漏洞在用户计算机上安装恶意软件。相反,尽可能避免包含 NPAPI 插件。

我的另一个选择是构建一个在后台运行的下载/安装本机桌面应用程序。但是这种方法也可以通过互联网不受限制地访问本地机器+我的服务器。

这两种方法都需要用户下载/安装本机代码 - 但 NPAPI 插件承诺更容易访问和通用框架。那么安全问题是否相同,或者一种方法通常优于另一种方法?

4

1 回答 1

1

本质上,插件和常规应用程序都具有相同的访问权限 - 因此安装任何一个都需要相当多的信任。然而,攻击面有所不同:虽然应用程序通常只能由用户启动,但每个网站都可以访问插件(限制对选定网站的访问是可能的,但这种保护本身可能会失败)。此外,如果您想将 NPAPI 插件打包到 Chrome 扩展程序中,您必须考虑Chrome 网上应用店需要在接受此类扩展程序之前进行人工审核(并且从您自己的站点分发扩展程序对于 Chrome 21 中所做的更改非常没有希望)。但它可能会提供更好的用户体验。总而言之:这不是一个容易做出的选择。

于 2012-08-22T14:58:53.603 回答