信任崩盘：网页安全为什么需要可验证代码

现代网页安全有个大麻烦，让开发者睡不着觉。

你用 Signal 或 ProtonMail，以为消息超级私密——端到端加密，服务器都看不了。但真相扎心：加密靠谱不靠谱，全看浏览器里跑的 JavaScript 代码。而这代码，从服务器发来，你得先信它才行。

服务器要是被黑了，被政府逼了，或者内部有人捣鬼，就能偷偷改代码，针对你一个人偷加密密钥。最狠的是，你压根儿不知道。

老一套信任模型，扛不住了

传统网页安全，靠“服务器说了算”。浏览器从 domain 拿代码，在沙箱里跑，默认它没问题。这套对普通网站行，但碰上敏感数据，就崩了。

想想这些场景：

• 银行 App 管你的钱
• 医疗平台存病历
• 加密聊天护记者和活动家
• 密码管理器存宝贝账号

全都有同样隐患：服务器坏了，就能挑人下手发改版代码。

核心问题是看不到。服务器能精准改代码，研究员、审计员、连开发者自己都查不着。端到端加密？如果代码本身被搞，啥用都没有。

出路：加密承诺+公开监督

要是服务器乱来，藏不住了呢？

关键是代码完整性和透明度。想象网页 App 能：

1. 加密绑定客户端代码到公开清单
2. 提交清单到只加不删、大家能查的日志
3. 浏览器强制验证——不匹配就拒载

改代码？要么浏览器当场挡住，要么留永久痕迹让研究员挖，要么直指具体服务器和时间。

这不是空想。Web Application Integrity, Consistency and Transparency (WAICT) 倡议，正把这套带到开放网页。

WAICT 怎么翻盘

WAICT 带来俩杀手锏，彻底变网页安全：

Integrity：浏览器跑的代码，铁证如山匹配开发者公开清单。没偷改，没针对。

Transparency：承诺全公开日志，研究员、记者、合规队、监管都能查。坏事一目了然。

网站启用 WAICT，浏览器变保安。如果代码没上日志，直接扔。攻击者隐身衣没了。

对敏感 App，这太牛了。加密聊天现在能打包票：“代码公开日志、可独立查，浏览器拒任何改动。”

实战合作+早期测试

不是一家公司独家玩。WAICT 是 Mozilla、Cloudflare、Meta、Freedom of the Press Foundation 等合力搞。规范开源，开发透明，欢迎反馈。

Firefox Nightly 已上原型，演示端到端加密视频通话，用 WAICT 保完整性。waict.dev 测试环境，让开发者先玩玩。

对你的 App 意味着啥

做敏感数据 App？WAICT 是安全大升级。不用求用户盲信服务器，你给加密证明：浏览器代码=公开承诺。

开发者干这些：

• 部署管线加代码清单
• 敏感功能开验证
• 自动公开审计代码库
• 给用户真透明，数据怎么护

用户呢？验证安全变标配，不是吹牛。

大格局：透明生信任

WAICT 不止技术规范，是开放网页的宣言。数据泄露、服务器被黑是早晚事，网页平台正让坏事现形、付出代价。

愿景简单：强安全，不靠信一人。用加密验证+公开负责。

原型跑着，伙伴齐心，规范开源。现在看生态多快拥抱，让验证安全成常态。

敏感 App 护私密数据，盼它快来。

想深挖 WAICT？戳开源规范，Firefox Nightly 试原型。作为 domain 或 hosting 提供商，盯紧这些安全新标准，护好用户。