Я ищу загрузку ресурса, который может быть уверен, что пользователь соответствует некоторому заранее согласованному хешу. Я знаю, что могу использовать целостность подресурсов в тегах HTML внешней страницы.
Как пользователь, я могу беспокоиться о том, что внешний сайт в домене A зашёл и загрузил что-то, чтобы обмануть меня (например, клик-джеккинг), поэтому у меня в iframe в домене B отображается ALERT с какой-то фразой, которую я знаю только при установке сфокусируйтесь в текстовом поле на этой странице, обслуживаемой B в iframe.
Но как предотвратить сговор A и B? Есть ли какая-то технология, встроенная в веб-браузеры, которая позволяет пользователям получать код из «блокчейна» или какой-то неизменной книги? Я был бы в восторге от решения, которое загружалось из нескольких источников, выбранных пользователем, и все они соответствовали друг другу, и было бы неизбежное указание пользователю, если бы они этого не сделали.
(Вот одна из возможностей ... Может быть, он может загружать iframe в iframe из разных доменов ABC, но это только гарантирует, что СЕРВЕРЫ уверены, что нужные материалы загружены, СЕРВЕРЫ верят, что они не Я был взломан, и мне нужен ПОЛЬЗОВАТЕЛЬ, чтобы получить какое-то неизбежное уведомление, если один из нескольких источников сообщает о проблеме (что легко сделать, так как запрос должен быть точно таким же каждый раз).)
Я знаю, что могу создать собственный браузер или расширение браузера, но возможно ли это сделать с помощью технологии обычного браузера, чтобы пользователь мог четко сказать, что код, передаваемый ИМ, соответствует некоторому «общеизвестному» коду ? Может быть, запросить и запустить этот код на других серверах? Может быть, все серверы следят друг за другом, отправляя анонимные запросы на ресурс / код и сообщая о нарушениях в растущей неизменной базе данных, которую они все реплицируют?
Да, я думаю, что объединение всех этих элементов является решением. Допустим, домены A1 ... An участвуют в этой растущей сети «защищенных сайтов». Чтобы серверы могли наблюдать друг за другом и отправлять анонимные запросы, мне также пришлось бы посылать запросы «луковичным» способом через случайные прокси в A1 ... Так, чтобы конечный сервер не мог сказать, кто запрашивает ресурс, и не может позволить себе ответить неправильно и попасть в растущий черный список. Значит, мне нужен какой-то веб-браузер Tor для бедного человека? Может быть, пользователь просто загружает один и тот же «URL-адрес прокси» с 9-10 веб-сайтов из A1 ... An, который заставляет их серверы действовать как прокси-серверы, и если хотя бы один из них говорит, что получил другой код, то пользователь получает уведомление в виде предупреждения ? В любом случае, мне нужно сделать это полностью с помощью веб-технологий.