Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 02. Oktober 2015 00:28

faglork
CMS/ms-Profi
Ort: Fränkische Schweiz
Registriert: 15. Dezember 2010
Beiträge: 1.150
Webseite

subresource integrity

Moinsen!

Brandneues Thema:
https://entwickler.de/online/web/subres … 81669.html

Für den einen oder anderen sicher nicht uninteressant.

Servus,
Alex

Offline

#2 02. Oktober 2015 08:09

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.116

Re: subresource integrity

Interessant schon, aber ... Hacker ändern doch selten vorhandene Javascripts sondern injizieren ihre eigenen Scripts in die HTML-Ausgabe (z.B. durch Manipulation einer PHP-Datei). Bringt da also nichts.

Und was, wenn ich z.B. über ein CDN auf JS-Libs zugreife, deren URL mir verspricht, immer die "latest" Version zu haben? Dann ändert sich der Hash doch quasi täglich. Und wenn ich mir ein Server-Script schreibe, welches das Script vorher auf den Server lädt, den Hash ermittelt und dann im Template einfügt, dann kann ich mir nicht vorstellen, dass Pagespeed das honoriert. (Mal abgesehen davon, dass die angestrebte Sicherheit damit wieder aufgehoben werden würde)

Oder denke ich zu kompiziert?

Offline