Harald Brombach (digi.no) Skrevet 28. juni 2016 Del Skrevet 28. juni 2016 Ny webstandard kan blokkere farlig JavaScript Lenke til kommentar
qualbeen Skrevet 28. juni 2016 Del Skrevet 28. juni 2016 Kult! ... men hva hvis tredjepart har korrigert en bugfix, vil alle implementeringer slutte å virke, og vi må inn med ny sha-sum i koden? Kunne jo like gjerne ha lastet ned og tilbudt ressursene fra eget domene da? (Okay; det er besparende å laste ned Analytics, jQuery. FB, m.m én gang fra sentral server, i steden for fra hver enkel webserver, but still – dette vil jo drepe alt vedlikehold. Å hente inn 'latest' variant vil ikke lenger gå. 1 Lenke til kommentar
FB.790685872 Skrevet 28. juni 2016 Del Skrevet 28. juni 2016 Kult! ... men hva hvis tredjepart har korrigert en bugfix, vil alle implementeringer slutte å virke, og vi må inn med ny sha-sum i koden? Kunne jo like gjerne ha lastet ned og tilbudt ressursene fra eget domene da? (Okay; det er besparende å laste ned Analytics, jQuery. FB, m.m én gang fra sentral server, i steden for fra hver enkel webserver, but still – dette vil jo drepe alt vedlikehold. Å hente inn 'latest' variant vil ikke lenger gå. Det er nok riktig ja. Men de færreste kjører "latest" i produksjon. Men gjør tester før man deployer en ny versjon uansett. Det jeg er mer skeptisk til er behovet. Om det sitter en "man in the middle", så vil jo denne personen også ha mulighet for å manipulere hash summen, så da er man like langt. Lenke til kommentar
Tapped Skrevet 28. juni 2016 Del Skrevet 28. juni 2016 (endret) Det jeg er mer skeptisk til er behovet. Om det sitter en "man in the middle", så vil jo denne personen også ha mulighet for å manipulere hash summen, så da er man like langt. Poenget er vell uansett å legge til et ekstra nivå med tillit. For eksempel i situasjoner hvor CDN serveren har blitt hijacked. Men er enig i at denne featuren hovedsaklig ikke beskytter mot "man in the middle attack". I det minste, så minsker den antall angrepspunkter, og det er positivt. Endret 28. juni 2016 av Tapped Lenke til kommentar
fuzzy76 Skrevet 28. juni 2016 Del Skrevet 28. juni 2016 Å hente inn 'latest' variant vil ikke lenger gå. Målgruppen for denne funksjonaliteten bruker nok ikke latest uansett. Da gir du andre kontroll over hvilken kode som kjører på siden din, og det er uaktuelt. Ting skal gjerne testes før de går ut i produksjon. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå