ウェブストアなしでGoogle Chromeの拡張機能を信頼するには？

Question

私の部門で内部使用するために、私はChrome拡張機能を作成しました。開発者モードでうまく動作し、私は同僚に.crx -fileを添付した電子メールで届けました。彼らはchrome://extensionsを開いてそこにドラッグアンドドロップします。メッセージ

ドロップが

が登場拡張機能をインストールするために、Chromeは拡張機能をインストールし、それが魔法のように動作します。

ただし、Chromeの最初の再起動時に、Chromeがサポートされていない拡張機能を無効にするメッセージが表示されます。

ヘルプページExtensions disabled by Chromeへのリンクをメッセージに追加し、述べている：

をあなたが閲覧している間、あなたを保護するために、Chromeは唯一のChromeウェブストアに公開されている拡張機能を使用することができます。

私はその理由を理解していますが、ユーザーがChromeに拡張機能が安全であると明示的に伝えることができる他の方法はありますか？ Webストアへの拡張を公開するのではないので、いくらかの努力が受け入れられます。

私は管理者権限がありませんので、レジストリもアクティブディレクトリも変更することはできません。

Answer 1

この作業を行うためのドメインレベルの管理がない方法はありません。あなたは、ユーザーが何かを "言う"という言葉が攻撃者になる可能性があるので、ユーザーには安全だと言うだけではありません。これを回避するための仕組みは、攻撃者や思慮深い企業がブラウザに多くの迷惑メールを追加するために使用されます。

Answer 2

このように、拡張機能をホワイトリスト/自動インストールするには、Active Directoryレベルのポリシーが必要です。 Policy Listを参照してください。

クロムは他のトリッキーを検出して戦うために多くの防御メカニズムを使用します。スタンスは簡単です。特権を持たないユーザーがマルウェアを埋め込むために他のソフトウェアで行うことができることは何でも可能です。

ただし、CWSで公開することを検討する必要があります。

1. これは非公開にすることができます。誰かがリスティングリンクを持っていない限り、その拡張は発見できません。

   この方法ではリンクがリークする危険性がありますが、現在の配信メカニズムcrxもリークする可能性があります。一般に、コピープロテクトの拡張は基本的に実行不可能です。

2. これは、アカウントに対する強制制御を使用して行うことができます。 Googleグループに「信頼できるテスター」を公開することができます。このグループは、リストを見る唯一のものです。

   ChromeでGoogleアカウントにログインできない場合は機能しません。

3. あなたの仕事にGAppsを使用する場合、これはあなたのドメインのユーザーのみに強制的にアクセスして公開することができます。

拡張機能が何らかの理由でCWSポリシーに疑問がある場合は、上記のすべてが機能しない可能性があります。この正確な理由で公開できず、ADポリシーを使用できない場合、私はあなたがSOLであることを恐れています。