دسته: integrity

بگذارید بگوییم سایت شما در جی کوئری ساخته شده است. شما JQuery را دانلود نمیکنید و از کپی خود استفاده میکنید، اما شما از نسخهی CDN استفاده میکنید، و از ذخیرهسازی در مرورگرهای سرویس گیرنده استفاده میکنید. این کار به این دلیل کار می کند که اگر یک سایت از نسخه CDN استفاده کند، آن را ذخیره می شود و هر سایت که از همان نسخه استفاده می کند، بدون نیاز به دانلود یک فایل یکسان در هر بار استفاده خواهد شد.

یک روز کسی به سرورهای CND حمله می کند و جایگزین فایل های جاوا اسکریپت با نسخه های تغییر یافته است که هرکدام از اعمال کلید به سرورهای مهاجم را در جایی قرار می دهند. و هر وب سایت که از آن اسکریپت استفاده می کند تحت تأثیر قرار می گیرد، سایت شما شامل می شود.

در اینجا وارد یک Subresource Integrity – SRI می شود. این از شخص ثالث جلوگیری می کند که منابع خارجی را شناسایی نکند. اگر SRI را در منابع خارجی خود فعال کنید، مرورگر کلاینت منابع را با ناپیوستگی هاش بارگذاری نمی کند.

پس از آن آنها می توانند به راحتی جایگزین منابع ریشه با هش ها از کد مخرب خود را

واقعا نیست. SRI محافظت از سایت شما (کد شما را کنترل) از تغییرات در یک اسکریپت شخص ثالث، که شما کنترل نیست. حمله به کد شما توسط SRI محافظت نمی شود، زیرا اگر یک مهاجم یک اسکریپت شخص ثالث و سایت شما را تغییر دهد، می تواند همان سایت تنها با تغییر سایت خود را تغییر دهد. پس از همه، حمله به سایت شما آسان تر از حمله به Akamai، CloudFlare، گوگل یا مایکروسافت است.