我正在寻找一种资源,以便用户可以确信与某些预先约定的哈希匹配。我知道我可以在外部页面的HTML标签中使用Subresource Integrity。
作为用户,我可能会担心域A上的外部站点去加载了一些欺骗我的东西(例如clickjacking),因此我每次在域B上的iframe都显示一条带有我只知道的短语的警报将焦点放在iframe中B投放的那个页面上的文本框中。
但是如何防止A和B勾结? Web浏览器中是否内置了某种技术,可让用户从“区块链”或某种不可变的账本中获取代码?从用户选择的多个来源加载的解决方案让我感到很兴奋,并且它们都匹配,并且如果用户不这样做,将不可避免地向用户显示一些信息。
(这是一种可能性...也许它可以从不同的域ABC中将iframe加载到iframe中,但这只能确保SERVERS确保已加载正确的内容,SERVERS相信它们尚未加载正确的内容受到损害后,如果多个来源之一报告了问题(这很容易做到,因为每次请求都必须完全相同),那么我需要的是USER获得一些不可避免的通知。) < / p>
我知道我可以构建自定义浏览器或浏览器扩展,但是可以通过常规浏览器技术来做到这一点,即用户可以清楚地知道提供给THEM的代码与某些“知名”代码匹配?也许请求并在其他服务器上运行此代码?也许所有服务器都通过发送对资源/代码的匿名请求来互相监视,并将不当行为报告给它们都在复制的不断增长的不可变数据库?
是的,我认为将所有这些元素组合在一起才是解决方案。假设域A1 ... An正在加入这个不断发展的“安全网站”网络。为了使服务器能够互相监视并发送匿名请求,我还必须通过A1中的随机代理以“洋葱分层”的方式发送请求...这样,最终服务器就无法分辨谁正在请求资源,并且不能承受错误回应并进入不断增长的黑名单。所以我需要一些穷人的基于网络的Tor?也许用户只是从A1的9-10个网站中加载了相同的“代理URL” ...这会使他们的服务器充当代理,即使其中一个人说他们得到了不同的代码,也会通过警报通知用户?无论如何,我需要完全使用网络技术来做到这一点。