Durante una conversación en The DMZ , se sugirió que se podría usar un hash SHA256 para verificar que el contenido que se entrega desde un CDN no haya cambiado antes de ejecutarse, de manera similar a como lo intentó el MEGA de Kim Dotcom hacer recientemente con CBC-MAC.
El mecanismo se implementaría a nivel del navegador, por lo que se incluiría un hash de contenido en el enlace al contenido. Por ejemplo:
<script src="http://example.cdn/jq/jquery-1.2.3.js"hash="sha256:kMufczNYKx9B2A7x7eICQVu18YDzEMqUe3G+h5QSifw=" />
El hash se proporcionaría como parte del código del sitio, de modo que solo se ejecutaría el contenido que coincida con el hash. Esto protegería al usuario contra los casos en que la CDN estaba comprometida. También ofrecería una manera de proporcionar seguridad mínima si se opera en modo de contenido mixto en el que todo excepto el CDN operaba con SSL.
¿Hay algún defecto en este enfoque? ¿Habría algún caso importante a considerar durante la implementación?