右クリックを無効にすると、セキュリティに影響がありますか?
銀行のウェブサイトで、右クリックが無効になっているのを確認しました。それにより、サイトのセキュリティは強化されますか?それは良い一般的な習慣ですか?
それはサイトをより安全にしますか?
いいえ、それは便利ページからアイテムを保存するあなたの能力以外は何も変更しません。ブラウザーの開発者モードを使用して、JSをオフにし、ポップアップを無効にする別のスクリプトでこれをオーバーライドするか、SSLを取り除いた後でデータをネットワークから取得するだけですべて機能します。
それは良い一般的な習慣ですか?
これは、人々がタンポポや家族のペットの非常にうまく構成されていない写真を「盗む」ことを望まなかったときに、インターネットがGeoCitiesの名声の高さに苦しむ必要があったことの痛みです。すべての専門性を省き、できるだけ率直であるので、私はこれを頭の上で鋳鉄のフライパンで使用して、現代のサイトの責任者をたたいたことを人に有罪とすることをためらうかもしれません。それを除けば、効果がなくて迷惑なことの組み合わせであるため、一般的には好意から外れています。たとえば、スペルチェッカーの動作がおかしくなります。
クライアント側のセキュリティは単なる煙幕です。経験の浅い人が画像を保存したり、HTMLをいじったりするのを防ぎますが、1行のJavaScriptを挿入するだけで簡単に無効にできます。 Chrome Inspectorを使用して、JSのこの行がなくてもHTMLをいじることができます。
このトリックを使用して画像を「安全」に保つ場合:
画像が取得されないようにするためにサイトで使用される多くのトリックを見てきました。もちろん、1つは右クリックのバブルを閉じ込めることです。もう1つは、2つの画像をオーバーレイして(またはCSS background-image:url()を使用して)、最初の画像を右クリックして「アクセス不可能」にする方法です。しかし、それは「右クリック>画像を別名で保存」以上のことを知らない人々を防ぐだけです。
それは良い習慣ですか?おそらく違います。それでも、人々がイメージを取得するのは非常に簡単です。しかし、そうです、もしあなたが可能性のある「泥棒」のプールを選別したいのであれば、私はそれで大丈夫だと思います。それでも、いったんクライアントに何かを送信すると、それが盗まれる可能性があるという事実に同意する必要があります。
このトリックを使用してWebサイトを「安全」に保つ場合
これを行わないでください。セキュリティはサーバー側にある必要があります。クライアント側のセキュリティは、CSRF /クリックジャッキング防止の形式である必要があります。 「ソースコードをいじりにくくする」という形ではありません。それは常にcanにいじられるからです。
実際には、セキュリティが少し低下する可能性があると思います。ボタンを無効にすることで妨げられた人は、セキュリティをまったく妥協することができません。しかし、右クリックを無効にすると、それを超えて正確にそれを行うことができる誰かを困らせる可能性があり、そうすることで、小さな障壁を打ち破り、ハッキングを続行する可能性があります。
別のポイントは、このような「機能」は、潜在的なハッカーがサイトの実装者のスキルに疑問を投げかける可能性があることであり、これもハッカーに実装を「チェックアウト」するように仕向ける可能性があります。
もちろん、これは単なる心理学であり、サイトの実際のセキュリティとは何の関係もありませんが、それでも妥当な点だと思います。
銀行のウェブサイトで、右クリックが無効になっているのを確認しました。それにより、サイトのセキュリティは強化されますか?
いいえ、頭の上から:
greasemonkeyを使用して、ページの読み込み時に右クリック機能を削除できます。
webページを保存して、お気に入りのエディターで開くことができます。
wget(またはJavaScriptを読み込まずにページを取得する他のクライアント)を使用して、Webページを再度取得できます。
ブラウザのWeb開発者向け拡張機能を使用して、ページのコードとコンテンツを検査できます。
それは良い一般的な習慣ですか?
それは彼らのウェブサイト上のあなたのブラウザの機能を制限します。私が考える限り、彼らが達成する唯一のことは、彼らのウェブサイトでのより貧弱なユーザー体験です(あなたは彼らのウェブサイトであなたのブラウザの全機能を使うことができません)、そして他の責任者)セキュリティの危険な幻想。
驚いたことに、多くの場合、Webサイトは「戻る」または「進む」ブラウザボタンのクリックに対処するように設計されていません。たとえば、「戻る」を押すと、一部の銀行またはeコマースWebサイトでトランザクションが2回コミットされる場合があります。このような場合、右クリックを無効にしようとする場合があります(これらのオプションが含まれている場合)。
右クリックを無効にしてもセキュリティには影響しません。回避するのは完全に簡単ですが、それだけではセキュリティホールは開きません。
銀行のWebサイトに疑いの恩恵を与える-右クリックを無効にすることにより、セキュリティ以外の効果が意図されている可能性があります。彼らは、ユーザーが誤って銀行のWebサイトで意図しないアクションを実行することを防ぎたい場合があります。
たとえば、フォームが二重に送信されるのを防ぐために「一度だけ送信を押す」とだけ言っているWebサイトに慣れているかもしれません。 [送信]を2回押すと、意図したものではなかった2回の送金を開始できます。確かに、これを達成するためのより健全な方法があります(各アクションに、送信前に一意のIDを与え、リクエストを1回だけ処理するなど)。
または、ページをロードして別のページにアクセスし、ブラウザの戻るボタンを押して元のページに移動すると(Webサイトをナビゲートするのではなく)、以前にアクセスしたページが機能しなくなるサイトを設定した可能性があります(たとえば、新しいページにアクセスすると期限切れになるトークンがあります)。多分彼らはあなたがサイトから離れてナビゲートすることを恐れていたので、攻撃者はあなたが数回押し戻した後にあなたの銀行情報にアクセスした後にコンピュータを使用する可能性があります。 (繰り返しますが、この目標を達成するための最も健全な方法ではなく、非アクティブな状態が5分間続いた後にセッションがタイムアウトし、人々がログアウトして公共のコンピュータを使用しないように促すことです)。
いいえ、安全なものが必要な場合は、クライアント側のものを信頼しないでください。
たとえば、セキュリティを強化する必要のあるWebサイトでクライアント側の検証のみを行うと、失敗します。サーバーとクライアントの両方の検証を行います。
そして、主なものは-セキュリティを提供することは、それを保護しないことを意味します。これは、システムを中断する時間を増やします。右クリックを無効にすることで、中断時間を1秒または2秒増やすことができます;)
これが提供できると考えられる唯一の利点は、カジュアルなユーザーが右クリックを必要とする愚かなことを期待している場合です。私は、何かを右クリックするとエクスプロイトが発生する可能性がある攻撃ベクトルを認識していません。そのため、この動作に関する有効なセキュリティの説明はありません。おそらく、ユーザーに一部の情報をコピーして貼り付けて欲しくなく、ユーザーがctrl-cとctrl-vについて知らないことを望んでいるのでしょうか。
おそらく、フィッシング攻撃をより困難にすることを目的としています。アイデアは、攻撃者が説得力のある偽のページを作成する必要があり、そうするために実際に実際のWebページから画像を保存しようとするため、画像へのアクセスをわずかに難しくすることは良いことだと思いますか?
明らかにそれは完全に効果がなく、マイナスのユーザビリティしか提供しませんが、私がsec製品でパブリックWebアセットのダウンロードを防ぐことはフィッシングに対してある種の価値があると主張するのを見たので、私はそう考えています。
はい、右クリックを「無効にする」とは、セキュリティに影響があります。
右クリックを「無効にする」と、私のようなユーザーはJavaScriptをオフにせざるを得なくなります。したがって、JavaScriptに実装されている他のすべての(かなり貧弱な)セキュリティ対策も同様にシャットダウンされます。
それが私が呼ぶものです反生産的なセキュリティ。
[右クリックを「無効にする」ことは、実際には右クリックを無効にすることではありません。それは右クリックを無効にしようとしています、そしてそれだけで右クリックをより困難にします。一部のWebブラウザーには、この不条理な煩わしさを単に無視するオプションさえあります。]