On Fri, Jun 4, 2010 at 4:58 AM, Henri Sivonen <span dir="ltr"><<a href="mailto:hsivonen@iki.fi">hsivonen@iki.fi</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">


After googling around a bit, I was unable to find a signed .crx file for analysis. (I took apart 3 .crx files and gave up.) Is the signing mechanism documented somewhere? .wgt reinvents the .jar signing wheel by the basic idea of .jar signing with XML Signatures.<br>

</blockquote><div><br></div><div>All .crx files are signed - they're just a zip with the public key and signature appended on to them. The chrome extensions gallery has lots of them:</div><div><br></div><div><a href="https://chrome.google.com/extensions">https://chrome.google.com/extensions</a></div>

<div><br></div><div>For developers who choose to use it, the gallery takes care of generating/storing the private key and signing new versions. They just upload a plain zip file with their extension's resources. For those who want to do this themselves, the developer tools on the chrome://extensions page inside chrome itself lets you create a signed .crx file. </div>

<div><br></div><div><br></div><div>You can find some documentation here:</div><div><a href="http://code.google.com/chrome/extensions/packaging.html">http://code.google.com/chrome/extensions/packaging.html</a></div><div><br>

</div><div>And here's the browser code to create .crx files:</div><div><a href="http://src.chromium.org/viewvc/chrome/trunk/src/chrome/browser/extensions/extension_creator.cc">http://src.chromium.org/viewvc/chrome/trunk/src/chrome/browser/extensions/extension_creator.cc</a></div>

<div><br></div><div><a href="http://src.chromium.org/viewvc/chrome/trunk/src/chrome/browser/extensions/extension_creator.cc"></a> </div></div>