アカウント名:
パスワード:
最近はintegrity付きでCDNから読み込むタグの例が書かれてることも多いから、ちゃんとそういうタグを使うようにしてれば大丈夫そう。
https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity [mozilla.org]
えー。多いか?初めて知った。積極的に使っていきたい。
去年のStatCounterの件でもSRIは紹介されてた。 [security.srad.jp]
SRIの難点はセキュリティホール等の致命的バグが有った時に、呼び出し元もハッシュを修正しないとサイトの機能が死ぬ点。
これ本来はハッシュじゃなくて電子署名とかで解決すべきだよね。
電子署名じゃないのは、金銭や処理コストがハッシュより重たいからなんですかね。真面目にやると失効確認等でサイトの読み込み速度落ちてしまうし。
ちなみに、SRIの致命的な弱点は「integrityを消せば動いてしまう」事。integrityを消して、解決したつもりになる馬鹿を確実に排除できないといけない。
そこは一応、Content Security PolicyでSRI強制を指定できる。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Secu... [mozilla.org]
もちろん、Content Security Policyを消せば動いてしまうという弱点にすり替わっただけとも言える。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
integrity (スコア:2, 参考になる)
最近はintegrity付きでCDNから読み込むタグの例が書かれてることも多いから、ちゃんとそういうタグを使うようにしてれば大丈夫そう。
https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity [mozilla.org]
Re: (スコア:0)
えー。多いか?初めて知った。積極的に使っていきたい。
Re: (スコア:0)
去年のStatCounterの件でもSRIは紹介されてた。 [security.srad.jp]
SRIの難点はセキュリティホール等の致命的バグが有った時に、呼び出し元もハッシュを修正しないとサイトの機能が死ぬ点。
Re: (スコア:0)
これ本来はハッシュじゃなくて電子署名とかで解決すべきだよね。
Re:integrity (スコア:0)
電子署名じゃないのは、金銭や処理コストがハッシュより重たいからなんですかね。
真面目にやると失効確認等でサイトの読み込み速度落ちてしまうし。
ちなみに、SRIの致命的な弱点は「integrityを消せば動いてしまう」事。
integrityを消して、解決したつもりになる馬鹿を確実に排除できないといけない。
Re: (スコア:0)
そこは一応、Content Security PolicyでSRI強制を指定できる。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Secu... [mozilla.org]
もちろん、Content Security Policyを消せば動いてしまうという弱点にすり替わっただけとも言える。