Resolviendo el problema de entrega de código mediante el hashing de la fuente GET'd [cerrado]

-1

TLS te da la confianza de que estás hablando con los servidores en los que confías, ¿verdad? Sin embargo, ¿por qué debería confiarle a una página (que probablemente sea una aplicación hoy) que nunca haya leído el código fuente, ni que alguien más lo haya estudiado?

Sí, puedes leer el código fuente, pero es muy probable que tengas que lidiar con la salida de un marco de plantilla, con la sangría completamente desordenada, sin comentarios, sin documentación, sin licencia, ... Cosas que es probable que tenga al utilizar una aplicación local.

Por supuesto, no todos están interesados en brindar a los clientes la capacidad de leer / estudiar la fuente, pero tengo la impresión de que incluso los defensores del software libre no tienen otra opción cuando escriben una aplicación web. ofuscado código cerrado .

¿Qué sucede cuando la aplicación contiene una referencia a, digamos, un git repositorio?

De esta manera, el navegador podría realizar el proceso de producción, por lo tanto, comparar un resumen de la aplicación servida y la dada por el proceso de compilación realizado por el navegador.

Diga dentro de la respuesta que el navegador puede leer

X-Git-Repository: git@...
X-Latest-Commit: d6c1e864e...
X-Task-Runner: ...
X-Build-Command: ...

Ahora puede pasar el repositorio construido dentro de una función de resumen (rápida), y hacer lo mismo para la fuente GET 'd. Si los resúmenes son los mismos, está utilizando un software que, en principio, podría auditarse fácilmente, sin evitar poner en duda el origen del problema de rendimiento en la producción.

¿Va a resolver el problema de la entrega de código? ¿Es eso impráctico ?, ¿inútil? ¿Nadie lo necesita?

    
pregunta Giuseppe 01.02.2015 - 13:21
fuente

1 respuesta

1
  

¿Va a resolver el problema de la entrega de código?

No. Por la misma razón, criptografía de Javascript es mala . El servidor envía la respuesta y, por lo tanto, el servidor puede enviar lo que quiera en los encabezados. No tiene garantías de que el servidor esté ejecutando el software en los puntos de confirmación.

    
respondido por el Ayrx 01.02.2015 - 13:26
fuente

Lea otras preguntas en las etiquetas