Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Categories:

Subresource Integrity

Ещё одна типасекьюрная технология Subresource Integrity. Не просто грузим скрипт откуда-то, но сопровождаем его хеш-суммой. И если хеш-сумма не совпала, то браузер грязно ругается. Я не понял, правда, насколько грязно: одно дело всплывающее окошко, другое - сообщение где-то в консоли отладки.

Модель угроз, как я понимаю - скрипты, которые тянутся с CDN. У CDN узлов много по всему миру, и кто его знает, кто в датацентры ходит. Если злоумышленник достаточно близко (у провайдера, как в Китае) и страница отдаётся по HTTP, то можно, конечно, и хеш подменить вместе со скриптом.

Ещё один потенциальный источник проблем, который так можно ловить - это внезапная смена версий скрипта. Но думаю, что приличные framework-и разные версии кладут по разным путям.

В Chrome добавили поддержку такой возможности уже некоторое время назад (версия 45, сейчас актуальная 47), в Firefox только что. В Opera тоже есть.

This entry was originally posted at http://beldmit.dreamwidth.org/456032.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное
Subscribe

  • Немного лытдыбра

    Съездил в Прагу. Надо было отправить Галю в Москву закрыть программу 10 класса. Одну. Очень нервничал, что завернут, но девица благополучно доехала и…

  • Пасхальные каникулы

    В четверг выпил местного зелёного пива. Такой вот предпасхальный специалитет в Зелёный Четверг. Кому интересно про пасхальные традиции — в чешскую…

  • Про то, как я учу чешский

    Эпиграф. Японец хвастается: — Я много лет уцил русский язык! Тысяцу слов уцил-уцил! Две тысяци слов уцил-уцил! Все они у меня тут (стучит себя по…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments