确保客户端脚本的完整性

Question

我想要一个在客户端上运行的脚本来计算一个防碰撞散列，并将它发送到服务器。我需要确保执行此哈希的脚本不会以任何恶意的方式更改。是否存在可确保计算哈希的客户端脚本未被更改的协议。

我有一个想法，脚本发送回HMAC本身的签名，但再想一想，如果修改代码，这不会阻止攻击者欺骗服务器。

Answer 1

简而言之，对这个问题提出的任何解决方案都将违反CWE-602:服务器端安全的客户端强制执行。

即使你在某些比扎罗宇宙中所暗示的可能，它也是不安全的。客户端(或攻击者)不仅可以执行脚本，还可以查看和修改内存中的所有内容，以及拦截、修改和创建通过网络传输的任何请求。因此，检查脚本的完整性甚至不能解决问题的根源。简言之，这一建议是对现代安全的根本违反，永远不会有解决这个问题的办法。(没有人需要这样做)