Ha az erőforrásokat helyben is ellenőrzi a böngésző, akkor jelentősen több munkát igényel a támadó oldaláról, hogy úgy cseréljen le JS vagy CSS kódot a szervereden, hogy az oldal utána ne dobjon hibákat, ne álljon le, és így ne vegye észre nagyon gyorsan a szerver üzemeltetője.
Ha felül tudja írni a js-t, valszeg akkor a html-t is.
A CDN-ről a Jquery-t, vagy társait tölti be a böngésző, ott nem dolgoz fel adatot. Privacy terén ugyanaz a helyzet, mint ha magad hostolod a fájlt.
Aha, csak biztos, hogy logolja az ip-t. Küldhet cookiet, etag-et usernek stb. És valamiért mégis buli ezeknek a cégeknek "ingyen" nyújtani ilyet.
Gyakoribb, hogy nyílt forrású rendszerek kódjába raknak kártékony kódot,
Az XZ kiderült hamarabb... De pl amit itt említettek az nem. És valszeg a célzottabb dolgok nem derülnek ki.
Azon weboldalaknál, ahol a következő 10-20-30 évben nem szeretnének a kiszolgált oldalhoz hozzányúlni, ott valószínűleg a böngészők a már a nem kellően biztonságos HTTPS protokol miatt 20 év múlva sem fogják betölteni az oldalt
A weboldalnak nincs köze ahhoz, hogy a webszerver milyen HTTPS protokollt támogat.
Ahol pedig időközben hozzányúlnak a rendszerhez, ott van lehetőség az aktuálisan használatos biztonsági megoldásokat beépíteni a CDN-re vonatkozóan is.
Nem szokott ez annyira megtörténni: https://blog.cloudflare.com/javascript-libraries-are-almost-never-updat…
Meg épp az aktuális projekten talán még le is cserélnék, de mondjuk az elmúlt 20 évben elkészülten biztos nem.