css/js src Integretiy

[Cc_Cc_Cc]

hi,

ich wollte die eingebundenen JS-Dateien und Css-Dateien sicherer machen.

Hab etwas von Integgrity gehört und hab mal was getestet.

Habe diesen Befehl in der Konsole eingegeben:

Quote:

openssl dgst -sha384 -binary jquery.min.js | openssl base64 -A

Dann bekam ich einen Hash.

Habe jetzt meine jqeruy.min.js Datei so eingebunden.

Quote:

<script src="js/jquery.min.js" inegrity="sha384-tsQFqpEReu7ZLhBV2VZlAu7zcOV+rXbYlF2cqB8txI/8aZajjp4Bqd+V6D5IgvKadsasT" crossorigin="anonymous"></script>

1. Frage, wo oder wie kann ich es testen ob es geklappt hat und sicher ist?
2. Habe ich da noch etwas vergessen?
3.Warum muss man am anfang immer "sha384-" ? Wieso muss ich einfach nicht den Hash eintragen den ich bekommen habe sondern muss davor "sha384-" eintragen?

[Der-Eddy]

Wenn es falsch ist dann wird die jeweilige Ressource nicht geladen, wobei es sowieso schon wenig bringt so was zu implementieren wenn du doch sowieso von deinem eigenen Server die Dateien lädst
Der Sinn von diesem Integrety Check ist es die Ressourcen von einem anderen Server (z.B. CDN) zu verifizieren
Würde jemand die Ressourcen auf deinem Server ändern, hast du ganz andere Sorgen als das jQuery nicht eingebunden werden kann

Quote:

Originally Posted by Cc_Cc_Cc

3.Warum muss man am anfang immer "sha384-" ? Wieso muss ich einfach nicht den Hash eintragen den ich bekommen habe sondern muss davor "sha384-" eintragen?

Simpel, SHA384 ist der Hash Algorithmus, andere Algorithmen brauchen auch andere Präfixe
z.B. SHA512 oder SHA2