Questa domanda è simile a È sicuro inserire nella whitelist i domini CDN? , ma si concentra sulla prospettiva dell'utente.
Sembra comune nei siti web aziendali americani utilizzare un CDN che presenta sottodomini parzialmente casuali per caricare Javascript per le funzionalità di base. L'esempio più comune che trovo è <somehash>.cloudfront.net
.
Gli utenti con un bloccante basato sul nome di dominio come NoScript hanno un problema di usabilità / sicurezza qui: hanno bisogno di caricare il JS dal dominio CDN, ma il nome del dominio non è memorabile o deterministico (dal punto di vista dell'utente) collegato a il sito. Quindi è difficile per loro verificare se tale sottodominio fornisca JS affidabile per quel sito, specialmente se la sua origine è soggetta a modifiche.
Quindi, quale è una buona abitudine per un utente qui? Fidati del primo utilizzo? Quando cambia il sottodominio hash, cosa fanno allora? Quali sono i rischi significativi qui?