Chromium 扩展中的 CryptoTokenExtension 是什么？

Question

Chromium 扩展中的 CryptoTokenExtension 是什么？

Chromium 扩展中的CryptoTokenExtension是什么？它不是来自 Chrome 网上应用店，也无法删除。使用安全吗？

Answer 1

它是允许在硬件之间进行两步验证的扩展。从链接：

多因素身份验证 (MFA) 是一种计算机访问控制方法，其中用户只有在向身份验证机制成功提交几个单独的证据后才被授予访问权限 - 通常至少是以下类别中的两个：知识（他们知道的东西）、拥有（他们拥有的东西）和内在（他们是的东西）。

双因素身份验证（也称为 2FA）是一种通过结合使用两个不同组件来确认用户声称的身份的方法。双因素身份验证是一种多因素身份验证。

谷歌浏览器从 38 版开始支持，Opera 从 40 版开始支持。Firefox 有一个附加组件。微软已经计划实施它。Dropbox、GitHub、GitLab 和 Bitbucket 也支持它。

使用安全吗？

嗯...工具本身可以保护您免受滥用。但这一切都取决于你如何对待你的硬件，我会说。另一方面......它是一个跟踪工具，所以理查德斯托曼会不同意（强烈而愤怒地）（:)）

感谢您的详细回答。所以这是 Chromium/Chrome 不可或缺的一部分？我只是想知道那是什么。互联网上关于此扩展程序的信息不多。 (3认同)
是的，我同意没有太多东西可以找到。谷歌论坛上的问题都没有答案：D (2认同)

Answer 2

Axe*_*ert 6

它是 Chromium 的一部分，也是 Chromium 附带的扩展。

证明：

kmendfapggjehodndflmmgagdbamhnfd在所有 Debian 软件包的源代码中搜索

它出现在多个包中，包括chromium和qtwebengine-opensource-src它基于chromium，但也出现在其他引用它的包中，例如这里：

chromium_83.0.4103.116-3.1/content/browser/webauth/webauth_request_security_checker.cc:

constexpr char kCryptotokenOrigin[] =
   "chrome-extension://kmendfapggjehodndflmmgagdbamhnfd";
// Returns AuthenticatorStatus::SUCCESS if the domain is valid and an error

Run Code Online (Sandbox Code Playgroud)

chromium_83.0.4103.116-3.1/content/browser/webauth/authenticator_impl_unittest.cc:

constexpr char kTestRelyingPartyId[] = "google.com";
constexpr char kCryptotokenOrigin[] =
   "chrome-extension://kmendfapggjehodndflmmgagdbamhnfd";
constexpr char kTestExtensionOrigin[] =
   "chrome-extension://abcdefghijklmnopqrstuvwxyzabcdef";

Run Code Online (Sandbox Code Playgroud)

chromium_83.0.4103.116-3.1/chrome/browser/webauthn/chrome_authenticator_request_delegate.cc:

 // Don't override cryptotoken processing.
 constexpr char kCryptotokenOrigin[] =
     "chrome-extension://kmendfapggjehodndflmmgagdbamhnfd";
 if (caller_origin == url::Origin::Create(GURL(kCryptotokenOrigin))) {
   return base::nullopt;

Run Code Online (Sandbox Code Playgroud)

这些事件看起来也不像是黑名单或其他负面事件。

还从该搜索结果中了解到：多个其他软件包，例如libauthen-u2f-perl将此 ID 引用为“The Chrome packaged app extension ID”。

似乎该扩展不是由某些单独的扩展文件提供的，就像所有第三方扩展一样，但它似乎内置于 Chromium 本身中：

$ dgrep kmendfapggjehodndflmmgagdbamhnfd chromium chromium-common chromium-driver chromium-sandbox chromium-shell
Binary file /usr/lib/chromium/chromium matches
Binary file /usr/lib/chromium/chromium-shell matches
Binary file /usr/lib/chromium/chromium-shell matches

Run Code Online (Sandbox Code Playgroud)

事实上，我有点惊讶的是，即使四年后（考虑到最初问题的日期），Chromium 开发人员似乎既没有设法也没有发现从 chromium 内部扩展中删除“不是来自 Chrome Web Store”的警告是合适的。只是现在不再像以前那样突出了。

PS：Ubuntu 虽然构建了自己的chromium-browser软件包，但它不是基于 Debian 的chromium软件包。最近，Ubuntu 甚至将其包含在这些令人厌烦且不必要的 snap 包中。但上游源代码应该还是一样的。

归档时间：	9 年前
查看次数：	43667 次
最近记录：	5 年前