Wie kann ich sicherstellen, dass meine über ein CDN gelieferten JavaScript-Dateien nicht geändert werden?

Ich arbeite an einem Szenario, in dem einige JavaScript-Dateien auf einem CDN gehostet werden sollen. Ich möchte einen Mechanismus haben, damit ich beim Herunterladen dieser Dateien auf der Benutzerseite sicherstellen kann, dass die Dateien nicht manipuliert wurden und tatsächlich vom angegebenen CDN stammen.

Ich verstehe, dass die Aufgabe sehr einfach ist, wenn ich SSL verwende, aber ich möchte trotzdem sicherstellen, dass die richtigen Dateien auch auf HTTP ohne SSL bereitgestellt werden.

Soweit ich suchen konnte, gibt es keinen Mechanismus wie die digitale Signatur für JavaScript-Dateien, der plattformübergreifend unterstützt wird. Vielleicht wird es nicht benötigt?

Ist in Browsern eine Methode integriert, mit der der Autor der JavaScript-Dateien überprüft werden kann? Kann ich irgendetwas tun, um dies auf sichere Weise zu tun?

Tatsächlich wird eine solche Funktion derzeit unter dem Namen Subresource Integrity entworfen . Schauen Sie sich das integrityAttribut des <script>Tags an. Obwohl es noch nicht vollständig angenommen wurde , erfüllt es genau diesen Zweck.

integrity

Enthält Inline-Metadaten, mit denen ein Benutzeragent überprüfen kann, ob eine abgerufene Ressource ohne unerwartete Manipulation bereitgestellt wurde. Siehe Subressourcenintegrität.

Quelle

Subresource Integrity (SRI) ist eine Sicherheitsfunktion, mit der Browser überprüfen können, ob Dateien, die sie abrufen (z. B. von einem CDN), ohne unerwartete Manipulation bereitgestellt werden. Es ermöglicht Ihnen, einen kryptografischen Hash bereitzustellen, mit dem eine abgerufene Datei übereinstimmen muss.

Quelle

Beispiel:

<script src="https://example.com/example-framework.js"
    integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
    crossorigin="anonymous"></script>

Beachten Sie jedoch, dass dies Sie nicht vor Man in the Middle-Angriffen schützt, wenn Sie Ihre Ressourcen über einfaches HTTP übertragen. In diesem Fall kann der Hash-Code vom Angreifer gefälscht werden, wodurch die Verteidigung gegen manipulierte Skriptdateien unbrauchbar wird.

Aus diesem Grund sollten Sie zusätzlich zu den oben beschriebenen Sicherheitsmaßnahmen immer sichere HTTPS-Verbindungen anstelle von einfachem HTTP verwenden.

Sie suchen nach Integritätsprüfungen für Unterressourcen .

Hier ist zum Beispiel das jQuery-CDN-Snippet:

<script src="https://code.jquery.com/jquery-3.1.0.js"
        integrity="sha256-slogkvB1K3VOkzAI8QITxV3VzpOnkeNVsKvtkYLMjfk="
        crossorigin="anonymous"></script>

Haftungsausschluss: Wie immer sollten Sie diese Mechanismen nur bei der Verwendung von https als nützlich erachten, da sie über MitM mit http problemlos deaktiviert werden können

Zusätzlich zu dem Mechanismus in den obigen Antworten können Sie auch die http-Antwortheader der Inhaltssicherheitsrichtlinie auf der übergeordneten Seite verwenden.

http://www.html5rocks.com/de/tutorials/security/content-security-policy/

Inhaltssicherheitsrichtlinie: script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG-HiZ1guq6ZZDob_Tng ='

Hier sind einige Dinge zu beachten. Das Präfix sha * - gibt den Algorithmus an, mit dem der Hash generiert wird. Im obigen Beispiel wird sha256- verwendet. CSP unterstützt auch sha384- und sha512-. Berücksichtigen Sie beim Generieren des Hashs nicht die Tags. Auch Groß- und Kleinschreibung und Leerzeichen spielen eine Rolle, einschließlich führender oder nachfolgender Leerzeichen.

Mit Chrome 40 oder höher können Sie DevTools öffnen und dann Ihre Seite neu laden. Die Registerkarte Konsole enthält Fehlermeldungen mit dem richtigen sha256-Hash für jedes Ihrer Inline-Skripte.

Dieser Mechanismus gibt es schon seit einiger Zeit, daher ist die Browserunterstützung wahrscheinlich ziemlich gut. Überprüfen Sie dies unbedingt.

Wenn Sie außerdem sicherstellen möchten, dass ältere, nicht kompatible Browser nicht unsicher sind, können Sie oben auf der Seite ein synchrones Umleitungsskript einfügen, das von der Richtlinie nicht zugelassen wird.

Es gibt einen wichtigen Punkt darüber, was diese Art der Unterzeichnung kann und was nicht. Es kann den Benutzer vor hypothetischen Angriffen schützen, bei denen jemand Ihren Code ändert. Es kann Ihrer Site nicht versichern, dass Ihr Code der ausgeführte Code ist. Mit anderen Worten, Sie können immer noch nichts vertrauen, was vom Client auf Ihre Website gelangt.

Wenn Ihr gegnerisches Modell einem Angreifer erlaubt, JavaScript-Dateien so zu ändern, wie sie von einem CDN übermittelt werden, erlaubt Ihr gegnerisches Modell einem Angreifer, die übermittelte verweisende Quelle zu ändern, um jeden Überprüfungsversuch zu entfernen und die Quelladresse in eine andere als zu ändern das CDN und / oder den Verweis auf das JavaScript vollständig zu entfernen.

Lassen Sie uns nicht die Dose mit Würmern öffnen, mit denen Ihre Anwendung feststellen kann, ob der Resolver des Benutzers über HTTP-Anforderungen (oder einen anderen Mechanismus ohne überprüfte Vertrauenskette) korrekt in das CDN aufgelöst wird oder nicht.

/ etc / hosts:

#  ...
1.2.3.4    vile-pirates.org    trustworthy.cdn
#  ...

Sie können dies mit Subresource Integrity sicherstellen. Viele öffentliche CDNs enthalten SRI-Hashes im einbettbaren Code, der auf CDN-Websites angeboten wird. Wenn Sie beispielsweise auf PageCDN auf der jQuery-CDN- Seite auf jquery file klicken , können Sie entweder die URL kopieren oder das Skript-Tag verwenden, das den folgenden SRI-Hash enthält:

<script src="https://pagecdn.io/lib/jquery/3.4.1/jquery.min.js" integrity="sha256-CSXorXvZcTkaix6Yvo6HppcZGetbYMGWSFlBw8HfCJo=" crossorigin="anonymous"></script>

Beim Laden der Seite gibt der Browser eine Anforderung für diese Ressource aus und nach Abschluss der Anforderung wird der Hash der empfangenen Datei mit dem Hash abgeglichen, der als Integritätswert im Skript-Tag angegeben ist. Wenn beide Hashes nicht übereinstimmen, verwirft der Browser die JQuery-Datei.

Derzeit wird diese Funktion von 91% der Browser weltweit unterstützt. Weitere Details zu caniuse .