Subresource Integrity (SRI)

Subresource Integrity (SRI) ist eine Standard-Web-Sicherheitsfunktion, mit der Browser überprüfen können, dass eine von einem CDN geladene Ressource nicht verändert wird, wenn sie an den Browser geliefert wird. Es funktioniert, indem es Ihnen erlaubt, einen kryptografischen Hash zu geben, der mit einer abgerufenen Ressource übereinstimmen muss.

Unternehmen, die das JavaScript + Cloud Bereitstellungsmodell verwenden, können sich für das neueste Sicherheitsupdate der Subressourcenintegritätskompatibilität entscheiden.

Wie funktioniert das?

SRI garantiert die Integrität von Whatfix Javascript, indem sichergestellt wird, dass alle Änderungen an produktionsrelevanten Bibliotheken, die den Endbenutzer beeinflussen, von den Endbenutzer-Browsern validiert werden.

Whatfix fügt jedem Endbenutzer, der Whatfix-Bibliotheksdateien verwendet, ein einzigartiges Integritätsattribut hinzu, das mit dem Verschlüsselungsstandard SHA384 erstellt wurde. Für jede Änderung, die an diesen Bibliotheken vorgenommen wird, wird automatisch ein eindeutiger Integritätsattributwert oder ein kryptografischer Hash generiert. Änderungen an Bibliotheken, die sich auf den Endbenutzer auswirken, lösen eine Änderung des kryptographischen Hashwerts aus.

Sobald ein Push zur Produktion abgeschlossen ist, wird der Hash-Wert der ursprünglichen Produktionsbibliotheken mit dem Hash-Wert der Bibliotheken verglichen, die von den Browsern der Endbenutzer empfangen wurden. Wenn zwischen diesen beiden Werten ein Missverhältnis besteht, werden die Produktionsbibliotheken nicht auf Endbenutzerebene ausgeführt.

Mit diesem Update können Sie sich auf die Integrität der Whatfix-Bibliotheken verlassen, die von Ihrem CDN bereitgestellt werden, und Endbenutzer vor unbeabsichtigten Änderungen an Bibliotheksdateien schützen.

Whatfix-Administratoren können wählen, ob sie Whatfix-Bibliotheksaktualisierungen akzeptieren oder ablehnen, wenn sie Änderungen in die Produktion einbringen. Administratoren können beschließen, keine Bibliotheksaktualisierungen zu akzeptieren und weiterhin neue Whatfix-Inhalte, die auf dem Dashboard erstellt wurden, an die Endbenutzer weiterzugeben.

Anwendungsskripte aktualisieren

Jedes Mal, wenn ein kompletter zur die Produktion schieben durchgeführt wird, wird das Anwendungsskript im Whatfix-Dashboard geändert. Daher sollte das Anwendungsskript nach jedem vollständigen Zur die Produktion schieben aktualisiert werden.

Ein kompletter Push zur Produktion (P2P) erfolgt, wenn Inhalte sowie Konfigurationsänderungen unter Verwendung des Whatfix-Dashboards veröffentlicht werden. Nur Inhaltaktualisierungen stellen keine vollständige P2P dar.

Folgend sind einige Beispiele, wann ein kompletter P2P stattfindet:

• Änderungen im Code für erweiterte Anpassung (AC) (kann optional von SRI ausgeschlossen werden)
• Freigabe von Whatfix
• Aktivieren oder Deaktivieren Sie von Funktionen, die für begrenzte Kunden verfügbar sind (Beta-Funktionen)

Für weitere Informationen sehen Sie JavaScript-Code verwenden, um Whatfix Inhalte anzuzeigen.