Actualmente estoy implementando un par de mejoras de seguridad en un sitio web de comercio de divisas criptográficas que maneja todos los datos del lado del cliente y utiliza un enfoque de archivos estáticos.
Una de las cosas que me pidieron fue agregar un mecanismo para permitir a los usuarios verificar si la página fue modificada por un lado del servidor de terceros. Tenga en cuenta que no me estoy refiriendo al servidor < - > eve < - > manipulación de tipo de cliente, ya que CSP, HSTS y otras protecciones están en su lugar.
Mi primer enfoque fue firmar cada archivo con una clave privada (que nunca llega a los servidores de producción) y distribuir la clave pública mediante un canal diferente. El hash firmado se alojaría en el mismo directorio que el archivo, con el nombre del archivo como .key. Alternativamente, todos los archivos podrían ser bloqueados y firmados. El usuario deberá realizar las comprobaciones manualmente (esto no es un problema).
Sé que se puede usar un watchdog del servidor para verificar cambios en los archivos, pero por lo que entendí, las condiciones de alojamiento son extremadamente volátiles.
Finalmente, no puedo crear una aplicación independiente para esto.
¿Es esto razonable? ¿Hay alguna solución propuesta para esta solicitud?