Attualmente sto implementando un paio di miglioramenti della sicurezza in un sito web di criptovaluta che gestisce tutti i dati sul lato client e utilizza un approccio di file statico.
Una delle cose che mi è stato chiesto di fare era aggiungere un meccanismo per consentire agli utenti di verificare se la pagina era stata modificata da un lato server di terze parti. Tieni presente che non mi sto riferendo a server < - > eve < - > manomissione di tipo client, poiché CSP, HSTS e altre protezioni sono a posto.
Il mio primo approccio a questo è stato firmare ogni file con una chiave privata (che non entra mai nei prod) e distribuire la chiave pubblica usando un canale diverso. L'hash firmato verrebbe quindi ospitato nella stessa directory del file, con il nome del file simile a .key. In alternativa, tutti i file possono essere sottoposti a hash e firmati in blocco. I controlli dovrebbero essere eseguiti manualmente dall'utente (questo non è un problema).
So che un watchdog del server può essere utilizzato per verificare la presenza di modifiche ai file, ma da quello che ho capito le condizioni di hosting sono estremamente volatili.
Infine, non sono autorizzato a creare un'app standalone per questo.
È ragionevole? C'è qualche soluzione proposta per questa richiesta?