LINUX.ORG.RU

JS and digital signature

 , ,


0

1

Прочитал тут про Выпуск GNU LibreJS 7.20, и не совсем понял.

Почему нельзя библиотеки js подписывать цифровой подписью и пусть браузер это дело проверяет ? Какие то спец. метки на сайте с указанием что код свободен ... как то не профисионально :(

★★★★★

Так жсня же жмётся, никакой детерминированности там, ибо идея тьюринг-полный код с мусорки получать умному человеку в голову придти не могла.

anonymous ()

В современном html, при подключении внешних скриптов, можно указать их хеш и тогда браузер не будет их исполнять если хеш не сойдется.

https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity

Конечно, хеш — не цифровая подпись, его нужно обновлять после каждого обновления содержимого скрипта, но хоть что-то.

В основном используется, если ты подключаешь какие-нибудь стандартные библиотеки с публичных сднов и хочешь быть уверенным, что при взломе сдна на твоем сайте не будут выполняться подмененные скрипты.

anonymous ()
Ответ на: комментарий от anonymous

Вполне детерминированно жмется, если ты его сожмешь один раз, а не будешь налету генерировать на каждый запрос (так никаких браузерных кешей не напасешься).

Сжал, подписал, выложил. Все норм.

anonymous ()