Chromium 扩展中的 CryptoTokenExtension 是什么?

tag-icon tag-icon chromium
Chromium 扩展中的 CryptoTokenExtension 是什么?

什么是加密令牌扩展在 Chromium 扩展中?它不是来自 Chrome 网上应用店,无法删除。使用安全吗?

在此处输入图片描述

答案1

这是允许两步验证硬件之间。来自链接:

多因素身份验证 (MFA) 是一种计算机访问控制方法,其中用户只有在向身份验证机制成功提供几条单独的证据后才被授予访问权限 - 通常至少包括以下类别中的两类:知识(他们知道的东西)、所有权(他们拥有的东西)和固有性(他们本身的东西)。

双因素身份验证(也称为 2FA)是一种利用两种不同组件的组合来确认用户所声称身份的方法。双因素身份验证是一种多因素身份验证。

Google Chrome 从 38 版开始支持它,Opera 从 40 版开始也支持它。Firefox 有一个插件。微软也计划实现它。Dropbox、GitHub、GitLab 和 Bitbucket 也支持它。

使用安全吗?

嗯...该工具本身是为了保护您免受滥用。但我想说,这完全取决于您如何对待硬件。另一方面...它是一种跟踪工具,所以 Richard Stallman 会(强烈而愤怒地)不同意(:))

答案2

它是 Chromium 的一部分,也是随 Chromium 附带的扩展。

证明:

kmendfapggjehodndflmmgagdbamhnfd在所有 Debian 软件包的源代码中搜索

它出现在多个包中,包括基于的chromium和,但也出现在引用它的其他包中,例如这里:qtwebengine-opensource-srcchromium

  • chromium_83.0.4103.116-3.1/content/browser/webauth/webauth_request_security_checker.cc

    constexpr char kCryptotokenOrigin[] =
   "chrome-extension://kmendfapggjehodndflmmgagdbamhnfd";
// Returns AuthenticatorStatus::SUCCESS if the domain is valid and an error

  • chromium_83.0.4103.116-3.1/content/browser/webauth/authenticator_impl_unittest.cc

    constexpr char kTestRelyingPartyId[] = "google.com";
constexpr char kCryptotokenOrigin[] =
   "chrome-extension://kmendfapggjehodndflmmgagdbamhnfd";
constexpr char kTestExtensionOrigin[] =
   "chrome-extension://abcdefghijklmnopqrstuvwxyzabcdef";

  • chromium_83.0.4103.116-3.1/chrome/browser/webauthn/chrome_authenticator_request_delegate.cc

     // Don't override cryptotoken processing.
 constexpr char kCryptotokenOrigin[] =
     "chrome-extension://kmendfapggjehodndflmmgagdbamhnfd";
 if (caller_origin == url::Origin::Create(GURL(kCryptotokenOrigin))) {
   return base::nullopt;

这些事件看起来也不像是黑名单或其他负面事件。

还从搜索结果中了解到:多个其他包,例如libauthen-u2f-perl将此 ID 引用为“Chrome 打包应用扩展程序 ID”

看起来好像该扩展不是由一些与所有第三方扩展一样的单独的扩展文件提供的,但它似乎内置于 Chromium 本身中:

$ dgrep kmendfapggjehodndflmmgagdbamhnfd chromium chromium-common chromium-driver chromium-sandbox chromium-shell
Binary file /usr/lib/chromium/chromium matches
Binary file /usr/lib/chromium/chromium-shell matches
Binary file /usr/lib/chromium/chromium-shell matches

实际上,我有点惊讶,即使过了四年(考虑到最初问题的日期),Chromium 开发人员似乎也没有设法或认为从 Chromium 内部扩展中删除“不是来自 Chrome 网上应用店”警告是合适的。它只是不再像以前那样引人注目了。

PS:Ubuntu 构建了自己的chromium-browser软件包,而不是基于 Debian 的chromium软件包。而且最近 Ubuntu 甚至将其包含在其中一个在我看来令人厌烦且不必要的 snap 软件包中。但上游源代码应该仍然相同。

相关内容