自动安装Chrome扩展程序

Question

我已经写了一个NPAPI插件，我想实现一个NSIS安装程序，可以自动安装插件。

我在googled上搜索了很多，发现在Chrome v25中，使用*.crx注册表的*.crx包安装不再工作了(默认情况下，安装的扩展将被禁用)。谷歌似乎不允许任何未经用户批准的自动扩展安装。

但是，我还发现，如果我在用户的本地机器上安装插件dll (而不是crx)，并用正确的dll路径将reg键写入HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@myplugin.com/myplugin，只要我的用户下载并执行我的安装程序，插件就可以自动安装，而无需通知新插件将被安装。

我的问题是，这就是为什么我的安装程序工作？这是否与谷歌的政策相矛盾？在默认情况下，是否应该阻止或禁用安装在HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins下的所有插件？

Answer 1

扩展和NPAPI插件是非常、非常不同的，以及与用户相关的风险，因此它们有不同的策略。

扩展不能被静默安装，因为它最终被用于安装恶意扩展，这些扩展执行更改浏览器设置并使其难以更改、容易从用户访问的站点获取敏感信息、在每个用户访问的站点上插入额外的广告(和/或用只向恶意软件作者付费的广告替换支持网站的广告)等等。

另一方面，NPAPI插件在浏览器中绝对不会做任何事情，除非由页面专门加载。它们并不像恶意软件那样特别有趣，因为NPAPI插件提供的附加功能是运行本机代码的能力。但是，如果恶意软件作者可以让人运行安装程序来安装插件，他们也可以轻松地安装其他东西，在后台连续运行本机代码，而不仅仅是当用户访问触发插件的站点时(他们可以比插件更容易隐藏，插件必须位于已知的位置，并显示在Chrome中)。

NPAPI的危险在于利用已经安装的、非恶意插件，而安装恶意扩展则是一个真正的问题。