google-chrome-extension - 本机消息传递的安全性？

Question

我有一个用于网站登录数据的 NPAPI 插件。

我想用Native Messaging技术替换它。我已阅读文档，但我有一个问题：这项技术安全吗？

黑客能否捕获从 JavaScript 传输到本地主机应用程序并返回的数据？

编辑：合并一个措辞更好的问题：

• stdio数据传输有多安全？
• 有没有办法进行这种数据传输的中间人攻击？

Answer 1

原则上，可以检查stdio可执行文件的调用。

例如，在 Linux 系统上，您可以strace用于此目的。我不知道类似的Windows工具，但可以想象它存在。

这类似于将调试器附加到浏览器/本机主机本身，并且只能由具有相同用户凭据或管理访问权限的本地计算机访问权限的人来完成。特别是，运行 Chrome 的用户可以做到这一点——就像他/她可以使用开发工具在 JavaScript 端检查和拦截数据一样。

所以，是的，原则上可以拦截，但只有某人才能在其运行的系统上执行/调试代码的完全权限，并且操作系统注意不允许普通用户以这种方式检查其他用户的进程。

Answer 2

You realize, of course, that Native Messaging will ONLY work within the bounds of the machine: With native messaging the browser will communicate with your host application over stdin/stdout.

So what exactly is the problem here? If the Hackers are capable of listening to your stdin/stdout they are already on your machine - you've already lost.