Esta pregunta es similar a ¿Es seguro incluir dominios CDN en la lista blanca? , pero está enfocado en la perspectiva del usuario.
Parece común en los sitios web de empresas estadounidenses utilizar un CDN que presenta subdominios parcialmente aleatorios para cargar Javascript para la funcionalidad principal. El ejemplo más común que encuentro es <somehash>.cloudfront.net
.
Los usuarios con un bloqueador basado en un nombre de dominio como NoScript tienen un problema de usabilidad / seguridad aquí: necesitan cargar el JS desde el dominio CDN, pero el nombre del dominio no está vinculado de manera memorable o determinista (desde la perspectiva del usuario) a el sitio. Por lo tanto, es difícil para ellos verificar si ese subdominio proporciona o no JS confiable para ese sitio, especialmente si su fuente está sujeta a cambios.
Entonces, ¿qué es un buen hábito para un usuario aquí? ¿Confía en el primer uso? Cuando cambia el subdominio hash, ¿qué hacen entonces? ¿Cuáles son los riesgos significativos aquí?