所有扩展,无论是Overlay https://developer.mozilla.org/en-US/Add-ons/Overlay_Extensions, 无需重新启动/自举 https://developer.mozilla.org/en-US/Add-ons/Bootstrapped_extensions, 附加 SDK https://developer.mozilla.org/en-US/Add-ons/SDK,或者新的网络扩展 API https://wiki.mozilla.org/WebExtensions基于扩展,可以签名 https://wiki.mozilla.org/Addons/Extension_Signing.
过去,各个扩展作者可以选择自己签署他们的扩展。不久前,Mozilla 更改了政策,所有扩展都必须提交给 AMO 并由 Mozilla 签名。具体来说,他们说 https://wiki.mozilla.org/Add-ons/Extension_Signing:
Mozilla 将开始要求所有扩展都经过签名,以便它们可以安装在 Firefox 的发布版和测试版中。签名将通过插件.mozilla.org http://addons.mozilla.org(AMO),并且对于所有扩展都是强制性的,无论它们托管在何处。
As of 火狐40 https://wiki.mozilla.org/Addons/Extension_Signing#Timeline,用户会收到任何未经 Mozilla 签名的扩展的警告。
As of 火狐43 https://wiki.mozilla.org/Addons/Extension_Signing#Timeline默认情况下,不允许安装未签名的扩展。然而,一个偏好,(xpinstall.signatures.required in about:config),可以设置为false以允许安装它们。
Mozilla 在多个地点表示,截至火狐44扩展必须经过签名才能安装在 Firefox 的发行版或测试版中 https://wiki.mozilla.org/Addons/Extension_Signing#Timeline。然而,与 Mozilla 的说法相反,在 Firefox 44.0b1(beta 1)设置中xpinstall.signatures.required to false仍然允许安装和运行未签名的扩展(在 Win7x64 上使用 FF 44.0b1 x64 进行测试)。
AMO 中未列出的开发或扩展替代方案:
The 火狐开发者版 https://www.mozilla.org/en-US/firefox/developer/ and Nightly https://nightly.mozilla.org/构建不需要扩展签名。
对于经过全面审查的附加组件,该附加组件的beta通道将立即签署,无需任何人工审核 https://developer.mozilla.org/en-US/Add-ons/Distribution#Unlisted_add-ons如果它们通过自动验证。
对于 AMO 上未列出的附加组件,Mozilla 将立即签署附加组件 https://developer.mozilla.org/en-US/Add-ons/Distribution#Unlisted_add-ons只要它通过自动代码验证器且没有错误(警告也可以)。
Mozilla 已发布 https://blog.mozilla.org/addons/2015/11/20/signing-api-now-available/ (更多详情 https://blog.mozilla.org/addons/) an 附加签名 API http://olympia.readthedocs.org/en/latest/topics/api/signing.html。此 API 允许您以编程方式提交附加组件(.xpi文件或附加 SDK 代码)进行签名,只要它通过自动代码验证器且没有错误(警告也可以),即可接收已签名的附加组件。
Mozilla 在多处声明将推出无品牌版本的 Firefox(测试版和发行版),允许安装未签名的附加组件。不过,目前还没有这方面的进一步信息。随着签名 API 的发布,Mozilla 似乎不太可能跟进并实际提供此类无品牌版本。
