Risoluzione del problema di consegna del codice tramite hashing della sorgente RICEVUTO [chiuso]

-1

TLS ti dà la sicurezza di parlare con i server di cui ti fidi, giusto? Eppure, perché dovrei dare fiducia a una pagina (probabilmente una applicazione oggi) che non ho mai letto il codice sorgente, né qualcuno l'ha studiato?

Sì, puoi leggere il codice sorgente, ma è molto probabile che dovrai affrontare l'output di un framework template, con rientri completamente incasinati, nessun commento, nessuna documentazione, nessuna licenza, ... Roba che è probabile che tu abbia quando usi un'applicazione locale.

Naturalmente, non tutti sono interessati a dare ai clienti la possibilità di leggere / studiare la fonte, ma la mia impressione è che anche il software libero sostiene non ha scelta quando scrive un'applicazione web, finendo per fornire un vero codice closed-source offuscato

Che cosa accade quando l'applicazione contiene un riferimento, ad esempio, a un git repository?

In questo modo, il browser potrebbe rendere il processo di produzione, quindi confrontare un riassunto dell'applicazione servita e quello fornito dal processo di compilazione effettuato dal browser.

Dire all'interno della risposta che il browser può leggere

X-Git-Repository: git@...
X-Latest-Commit: d6c1e864e...
X-Task-Runner: ...
X-Build-Command: ...

Ora può passare il repository creato all'interno di una funzione digest (veloce) e fare lo stesso per la fonte GET 'd. Se i digest sono uguali, si sta utilizzando un software che, in linea di principio, potrebbe essere facilmente controllato, senza evitare di rovinare la fonte di problemi di prestazioni nella produzione.

Risolverà il problema della consegna del codice? È impraticabile ?, inutile? Nessuno ne ha bisogno?

    
posta Giuseppe 01.02.2015 - 13:21
fonte

1 risposta

1

Is it gonna solve the problem of code delivery?

No. Per la stessa ragione per cui Javascript crypto è male . Il server invia la risposta e quindi il server può inviare tutto ciò che vuole nelle intestazioni. Non si ha alcuna garanzia che il server stia effettivamente eseguendo il software nei punti di commit.

    
risposta data 01.02.2015 - 13:26
fonte

Leggi altre domande sui tag