Subresource Integrity
Dec. 17th, 2015 11:23 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitЕщё одна типасекьюрная технология Subresource Integrity. Не просто грузим скрипт откуда-то, но сопровождаем его хеш-суммой. И если хеш-сумма не совпала, то браузер грязно ругается. Я не понял, правда, насколько грязно: одно дело всплывающее окошко, другое - сообщение где-то в консоли отладки.
Модель угроз, как я понимаю - скрипты, которые тянутся с CDN. У CDN узлов много по всему миру, и кто его знает, кто в датацентры ходит. Если злоумышленник достаточно близко (у провайдера, как в Китае) и страница отдаётся по HTTP, то можно, конечно, и хеш подменить вместе со скриптом.
Ещё один потенциальный источник проблем, который так можно ловить - это внезапная смена версий скрипта. Но думаю, что приличные framework-и разные версии кладут по разным путям.
В Chrome добавили поддержку такой возможности уже некоторое время назад (версия 45, сейчас актуальная 47), в Firefox только что. В Opera тоже есть.
Модель угроз, как я понимаю - скрипты, которые тянутся с CDN. У CDN узлов много по всему миру, и кто его знает, кто в датацентры ходит. Если злоумышленник достаточно близко (у провайдера, как в Китае) и страница отдаётся по HTTP, то можно, конечно, и хеш подменить вместе со скриптом.
Ещё один потенциальный источник проблем, который так можно ловить - это внезапная смена версий скрипта. Но думаю, что приличные framework-и разные версии кладут по разным путям.
В Chrome добавили поддержку такой возможности уже некоторое время назад (версия 45, сейчас актуальная 47), в Firefox только что. В Opera тоже есть.
