#### 参考前文 [供应链投毒后,我们的选择还剩下哪些?](/t/1056428)
#### 最近做了个[匿名加密可 WebRTC 视频的聊天室](/t/1066232)
#### [填昵称即可进的匿名聊天室]( https://cnt2.cf/groups/login.html#SuYDKnA6Ge/5p3YmyVneGhzI9jMXvGNVk/5FUHGZ2FS7,QGQJI/VL44kRGE,Uuu/fMqUXeC2fc1h,Z/)

- 这个聊天室的一大特点就是, 前端加密后再发送, 服务端看不聊天内容.
- 而且前端代码量不大, 用户可借用工具或 AI 分析验证这个说法.
- 但是如果需要长期保持信任, 那么需要验证前端代码从上次检验过后没有被修改过.
- 那个前端只通过 websocket 和后台交互, 如果能保证前端没有被修改, 能保证通信是安全的.
- 这个验证工作能否由浏览器或插件自动进行呢?

#### 如果这个特性能被浏览器标准化, 那么基于浏览器的应用能更好发展
#### 能成为互联网除了 TLS 外最基础的一个信任环节, 一个人/公司开始可能不坏, 但是后面会变坏.
#### 毕竟如文章开头提到的那件事, 现在对 cdn 和公共资源提供者无底线信任是最薄弱的环节.

- 这个东西就是类似 script 标签的 integrity 属性, 但是工作在更底层的部分.
举报· 109 次点击
登录 注册 站外分享
3 条回复  
0o0O0o0O0o 小成 2024-8-21 01:12:01
不记得是第几次复制粘贴这个链接
https://news.ycombinator.com/item?id=39436238

去年吵翻天的 WEI 风波证明了人们不接受这样的东西,我认为不用抱这种期待了
https://en.wikipedia.org/wiki/Web_Environment_Integrity

做应用的话可以参考 fb 的做法,相当于信任 Google 和 Mozilla 的市场这样的分发渠道
https://chromewebstore.google.com/detail/code-verify/llohflklppcaghdpehpbklhlfebooeog
qweruiop 小成 2024-8-21 12:34:31
wei 已经不行了,现在最好的办法就是信任 Google/Apple 的分发渠道啦,web 的东西就算了吧。。。
iqoo 小成 2024-8-21 14:07:01
全站静态资源 Hash 锁定,几年前就写过: https://github.com/EtherDream/freecdn/blob/master/docs/feature/README.md#%E5%85%A8%E7%AB%99-Hash-%E6%A0%A1%E9%AA%8C

都快忘了这个项目了,好久没更新。
返回顶部