Das Vorhaben von Mozilla ist ja ein guter Schritt. XSS soll schwerer bis unmäglich werden, durch die sogenannte Content Security Policy. Allerdings verhindert der Verzicht auf eingebettetes Javascript nur XSS und keine vorsätzliche Fälschung über statische Inhalte.

Ich hatte da vor Jahren schon einen anderen Ansatz verfolgt, der durchaus parallel zu dem jetzigen verfolgt werden kann, nannte sich sigHTTP und war eher auf Signierung der Inhalte ausgelegt. Immerhin kam er fast bis zum RFC. Selbst dynamische Inhalte hätten da sicher signiert werden können, was keine Konkurrenz zur Signierung der Übertragung via SSL/HTTPS darstellt.

Aber jeder Versuch da was zu verbessern ist schon mal ein guter Schritt.

Schön so!