Come proteggere gli utenti di app Web dal compromesso del server?

Qui c'è una netta separazione delle preoccupazioni. A mano a mano che l'app Web si sviluppa, è necessario utilizzare regole di sicurezza all'avanguardia per proteggere la tua app. Se sei anche responsabile della sua integrazione su un server, dovresti anche assicurarti che tutti i componenti che usi attorno all'applicazione (ad esempio un server frontale Apache o nginx) abbiano configurazioni che seguono le regole più avanzate.

Ma la protezione delle macchine client può contare solo sui proprietari dei computer e il meglio che puoi fare è assicurarti di aver svolto il tuo lavoro nella produzione e configurazione di un'app Web protetta correttamente.

Detto questo, la sicurezza di un'app Web dipende in gran parte dalla sicurezza globale sul suo host. Se ritieni di non poterti fidare dell'ambiente host, non dovresti usarlo o accettare che la sicurezza della tua app non sia superiore alla sicurezza del suo host. Detto in modo diverso, utilizzando un servizio di hosting per la tua app, tu accetti il suo livello di sicurezza.

Content Security Policy è probabilmente un buon punto di partenza.

Ma alla fine, dal punto di vista del cliente, se ti connetti a un sito web (con Javascript abilitato), stai insinuando che tu abbia un livello base di fiducia in esso ... anche se non te ne rendi conto.

Dal punto di vista dell'hosting di un sito, se stai ospitando un fornitore, ti stai fidando di farlo in modo sicuro, c'è solo così tanto che puoi fare: il tuo "uovo" è completamente nella loro " cestino".

Per le risorse di terze parti (generalmente ospitate tramite una CDN), puoi utilizzare integrità della risorsa .