Ezt nem teljesen értem.
Arra számítunk, hogy idővel valaki olyan JS fájlt fog feltölteni az eredeti helyére, aminek ugyanaz az SHA256 értéke, és közben a benne lévő kód meg azt csinálja, mint amit a támadó szeretne?
(egyébként sha-384-et, és sha-512-őt is lehet használni az integrity mezőben, itt egy rövid leírás, hogy érdemes használni)
Az ötös lottón nyerni 1 a 43,949,268-hoz eséllyel lehet. Annak, hogy valaki két azonos SHA-256 összegű fájlt készítsen, de eltérő tartalommal; az ötöslottó nyerési esélyéhez képest 1.29 × 10 a -32-ediken esélye van. Tehát ha minden alkalommal, amikor lottózol, készítesz egy ilyen js fájlt, akkor minden alkalommal, amikor nyertél a lottón, 0.0000000000000000000000000000000129% esélyed van, hogy a JS fájl SHA256 értéke is azonos lesz az elvárttal. A legtöbb weboldal esetében ez már az elfogadható kockázat szintjén van, általában ennél nagyobb eséllyel talál valaki véletlenül olyan programhibát a kódban, amivel a saját szervereden módosíthatja az oldal kódját.