Forrás?
Kutatások a témában, majd egyszer megint megkeresem, ha épp ráérek, pár hónapja olvastam. Egyébként KEMTLS az egyik kulcsszó, érdekes téma, ajánlom olvasgatni.
Zseniális ötlet, csak mi akadályozza meg a mitm támadót, hogy az ebben a tag-ben utazó string-et kicserélje egy olyanra ami annak a tartalomnak a checksum-jával egyezik, amire hamisitotta az oldalt?
Ah, ezzel részben lehülyézted a W3C-t, másrészt meg az oldal, amin a checksum van, az lehet SSL/TLS mögött, mert valószínűleg nem egy egymilliárdszor letöltött publikus library/kép/CSS/whatever, ha igen, akkor meg már egy megbízható checksum hivatkozás tölti be. Tudod, ki van ez találva, csak kevesen használják, mert jönnek ezekkel a fasz kérdésekkel, mert nem értik az egészet. És ahelyett, hogy leülnének egy csendes sarokba és átolvasnák a témában a szakirodalmat, nekiállnak random faszságokat kérdezni, amit már mások is ezerszer megkérdeztek, mert ők se ültek le egy csendes sarokba átolvasni a szakirodalmat. Ami szakirodalom amúgy megválaszolja a random faszságokat, amit feltesztek kérdésként.
Azért, mert valamit 15-20 éve "így szoktunk", az nem jelenti azt, hogy fenntartható és skálázható dolog. Időnként érdemes a dobozon kívül gondolkodni.