Subresource Integrity

[beldmit]

Ещё одна типасекьюрная технология Subresource Integrity. Не просто грузим скрипт откуда-то, но сопровождаем его хеш-суммой. И если хеш-сумма не совпала, то браузер грязно ругается. Я не понял, правда, насколько грязно: одно дело всплывающее окошко, другое - сообщение где-то в консоли отладки.

Модель угроз, как я понимаю - скрипты, которые тянутся с CDN. У CDN узлов много по всему миру, и кто его знает, кто в датацентры ходит. Если злоумышленник достаточно близко (у провайдера, как в Китае) и страница отдаётся по HTTP, то можно, конечно, и хеш подменить вместе со скриптом.

Ещё один потенциальный источник проблем, который так можно ловить - это внезапная смена версий скрипта. Но думаю, что приличные framework-и разные версии кладут по разным путям.

В Chrome добавили поддержку такой возможности уже некоторое время назад (версия 45, сейчас актуальная 47), в Firefox только что. В Opera тоже есть.

Comments

[vitus_wagner]

Интересно, а у img они integrity понимают? А то от подмены картинок тоже бы надо страховаться.

(а потом правило в адблоке настроить - если хоть у одного img на странице есть integrity, то все img без интегрити - резать, потому что это баннеры.)

[beldmit.livejournal.com]

Пишут, что script и link.

Впрочем, про современные баннеры я не уверен, что они вообще содержат img, а не те самые script и link :-)

[lodin]

Вот да, для img бы не помешало. Потом, если что (хостинг приказал долго жить или ему приказали), найти можно будет дубликат по чексумме.

[qkowlew.livejournal.com]

Да-да, в настоящее время я пассивно занимаюсь сексом с двумя проектами, где (на данный момент) 6 версий Jquery на каждой странице...

[beldmit.livejournal.com]

Но по разным URL-ам, надеюсь?

[qkowlew.livejournal.com]

js лежат на разных урлах.