webext-signed-pages 项目教程

webext-signed-pages 项目教程

webext-signed-pagesA browser extension to verify the authenticity (PGP signature) of web pages项目地址:https://gitcode.com/gh_mirrors/we/webext-signed-pages

1、项目介绍

webext-signed-pages 是一个浏览器扩展项目，旨在验证网页的真实性（通过 PGP 签名）。该项目最初是为了提高 EteSync 网络应用的安全性而创建的。在网络安全中，一个主要的问题是每次打开页面时，应用程序（JavaScript）都会被交付给用户，这意味着恶意或被攻破的网络服务器可能会更改代码以窃取用户的敏感信息。webext-signed-pages 通过验证网页的 PGP 签名，确保用户访问的网页是真实且未被篡改的。

2、项目快速启动

安装依赖

首先，确保你已经安装了 Node.js 和 Yarn。然后，克隆项目并安装依赖：

git clone https://github.com/tasn/webext-signed-pages.git
cd webext-signed-pages
yarn install

构建项目

使用以下命令构建项目：

yarn build

加载扩展

1. 打开 Chrome 浏览器，进入 chrome://extensions/。
2. 启用“开发者模式”。
3. 点击“加载已解压的扩展程序”，选择 webext-signed-pages/dist 目录。

验证网页

在浏览器中打开一个网页，扩展会自动验证该网页的 PGP 签名。如果签名有效，扩展会在浏览器工具栏中显示一个绿色的图标；如果签名无效或缺失，则会显示一个红色的图标。

3、应用案例和最佳实践

应用案例

• EteSync Web 应用：webext-signed-pages 最初是为了提高 EteSync 网络应用的安全性而创建的。EteSync 是一个端到端加密的同步服务，用于日历、联系人和任务管理。通过使用 webext-signed-pages，EteSync 确保用户访问的网页是真实且未被篡改的，从而保护用户的隐私和数据安全。

最佳实践

• 定期更新签名密钥：为了确保安全性，建议定期更新 PGP 签名密钥，并确保密钥的安全存储。
• 验证所有外部资源：确保网页中的所有外部资源（如 JavaScript 和 CSS 文件）都设置了子资源完整性（SRI），以防止资源被篡改。

4、典型生态项目

• EteSync：一个端到端加密的同步服务，用于日历、联系人和任务管理。webext-signed-pages 最初是为了提高 EteSync 的安全性而创建的。
• OpenPGP.js：一个用于在浏览器中实现 OpenPGP 标准的 JavaScript 库。webext-signed-pages 使用 OpenPGP.js 来验证网页的 PGP 签名。

通过以上步骤，你可以快速启动并使用 webext-signed-pages 项目，确保你访问的网页是真实且未被篡改的。

webext-signed-pagesA browser extension to verify the authenticity (PGP signature) of web pages项目地址:https://gitcode.com/gh_mirrors/we/webext-signed-pages