Gå til innhold

Ny webstandard kan blokkere farlig JavaScript

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
qualbeen

qualbeen

Skrevet
Skrevet

Kult!

 

... men hva hvis tredjepart har korrigert en bugfix, vil alle implementeringer slutte å virke, og vi må inn med ny sha-sum i koden? Kunne jo like gjerne ha lastet ned og tilbudt ressursene fra eget domene da? (Okay; det er besparende å laste ned Analytics, jQuery. FB, m.m én gang fra sentral server, i steden for fra hver enkel webserver, but still – dette vil jo drepe alt vedlikehold. Å hente inn 'latest' variant vil ikke lenger gå.

  • Liker 1
Lenke til kommentar
FB.790685872

FB.790685872

Skrevet
Skrevet

Kult!

 

... men hva hvis tredjepart har korrigert en bugfix, vil alle implementeringer slutte å virke, og vi må inn med ny sha-sum i koden? Kunne jo like gjerne ha lastet ned og tilbudt ressursene fra eget domene da? (Okay; det er besparende å laste ned Analytics, jQuery. FB, m.m én gang fra sentral server, i steden for fra hver enkel webserver, but still – dette vil jo drepe alt vedlikehold. Å hente inn 'latest' variant vil ikke lenger gå.

 

Det er nok riktig ja. Men de færreste kjører "latest" i produksjon. Men gjør tester før man deployer en ny versjon uansett.

 

Det jeg er mer skeptisk til er behovet. Om det sitter en "man in the middle", så vil jo denne personen også ha mulighet for å manipulere hash summen, så da er man like langt.

Lenke til kommentar
Tapped

Tapped

Skrevet
Skrevet (endret)

Det jeg er mer skeptisk til er behovet. Om det sitter en "man in the middle", så vil jo denne personen også ha mulighet for å manipulere hash summen, så da er man like langt.

Poenget er vell uansett å legge til et ekstra nivå med tillit. For eksempel i situasjoner hvor CDN serveren har blitt hijacked. Men er enig i at denne featuren hovedsaklig ikke beskytter mot "man in the middle attack". I det minste, så minsker den antall angrepspunkter, og det er positivt.

Endret av Tapped
Lenke til kommentar
fuzzy76

fuzzy76

Skrevet
Skrevet

Å hente inn 'latest' variant vil ikke lenger gå.

Målgruppen for denne funksjonaliteten bruker nok ikke latest uansett. Da gir du andre kontroll over hvilken kode som kjører på siden din, og det er uaktuelt. Ting skal gjerne testes før de går ut i produksjon.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...