Ich möchte nun erreichen, dass sichergestellt ist, dass der ServiceWorker nicht einfach so ausgetauscht werden kann. Also das Szenario, dass jemand unbefugt Zugriff auf den Web Server hat und dort den Service Worker kompromitiert

In der Regel erreicht man das, in dem der Ersteller der Datei diese mit einem privaten Schlüssel signiert (hoffentlich nicht auf dem Webserver...) und der Nutzer diese Signatur mit einem public key des Erstellers prüft. Dabei sollte man kritisch hinsehen, wenn der für die Prüfung veröffentlichte Public Key sich plötzlich ändert…