在银行网站上,我看到他们禁用了右键单击。这会使网站更安全吗?这是一种好的常规做法吗?

评论

禁用右键单击不会阻止某人使用Web开发人员工具包。这些可以并且将允许人们更改html,javascript和css代码。意味着该人仍将能够下载您的图像并欺骗您的客户端安全。

当然可以,这会使更多网站更令人讨厌,因此更容易被黑客攻击

我想指出的是,无论这种做法是否影响网站的物理安全,它的确有助于普通民众对网站的感知安全。

@ChrisKerekes我从未听说过这个说法,我很想知道是否有文章或这样的站点可以谈论影响普通民众对站点的感知安全性?

@SpellingD,《安全心理学》是布鲁斯·施耐尔(Bruce Schneier)的文章,他是Wiley出版的许多加密和安全书籍的作者。免责声明:我还没有完整阅读文章。

#1 楼


它会使网站更安全吗?使用浏览器的开发人员模式,关闭JS,使用其他禁用该弹出窗口的脚本覆盖此JS,或在剥离SSL后仅从网络中获取数据。


这是一种好的通用做法吗?


当人们不希望您“偷窃”他们的穷人时,互联网不得不遭受GeoCities声名狼藉的痛苦组成蒲公英和家庭宠物的照片。放弃所有的专业精神,并尽可能直截了当,我可能会因为使用铸铁煎锅在头部上方打头击打任何现代场所的负责人而定罪。除此之外,由于无效和烦人的结合,它通常不受欢迎。例如,这也会使我的拼写检查器行为异常。

评论


+1。它对安全性无济于事,这让我很生气。

–汤姆·奥康纳(Tom O'Connor)
13年2月21日在8:58

同样,任何认为这以某种方式提高安全性的人都不应该受到如此疯狂的银行网站的信任。我想知道这是哪家银行,所以我可以避免使用其网上银行功能...

– Shadur
13年2月21日在10:30

@Shadur:银行网站臭名昭著地做着愚蠢的事情。.通常,您的密码必须是“ PIN”,必须是4个数字,没有字母,不再和更短/耸肩

–托马斯·博尼尼(Thomas Bonini)
13年2月21日在12:33



+1只是为了持久地保留长柄锅的图像和讲故事的“ Spang”噪音,我们都知道会造成这种情况! :)

–詹姆斯·斯内尔(James Snell)
13年2月21日在13:25

零收益。精通“骇客”的任何人都不会因无法右键单击而受挫。它仅禁用右键单击的操作,而不禁用右键单击提供的功能。“我已经通过1024位加密,现在,只要我可以右键单击该死的图像...”

–eskimo
13年2月22日在12:34

#2 楼

客户端安全只是一个烟幕。它可以防止没有经验的人保存图像或将HTML弄乱,但是可以通过单行注入的javascript轻松禁用它。使用Chrome Inspector,即使没有这行JS,您也可以弄乱HTML。图像正在获取。一种当然是捕获右键单击气泡。另一种是叠加两个图像(或使用CSS background-image:url()),使第一个“不可访问”到右键单击。但这只会阻止那些只知道“右键单击>将图像另存为”的人。
这是一个好习惯吗?可能不会。人们仍然很容易获得图像。但是,是的,如果您想剔除可能的“小偷”,我认为这样做是可以的。不过,您应该接受这样的事实,即一旦您向客户发送了一些东西,它就可能被盗。
如果使用此技巧使网站保持“安全”,请不要这样做。 。您的安全性应该在服务器端。客户端安全性应采用CSRF / clickjacking预防措施的形式。不能以“使源代码难以混淆”的形式出现。因为它总是很容易被弄乱。

评论


任何真正想要该图像的人都将能够获得它,除非他们最终无法在网络浏览中胜任。我会毫不犹豫地说,禁用右键单击不仅会减慢任何人的速度。

– Shadur
13年2月21日在10:28

@fgysin:我右键单击>在新选项卡中打开图像。然后我保存。如果这不是我想要的,我会检查页面并拖动真实的URL并大声尖叫:P

– Manishearth
13年2月21日在16:18

嗯,这回想起我在大学时的一个伙伴的回忆,认为他已经制作了“安全的”图像DRM并向我提出挑战,请打破它。第二天我将图像的详细信息从数据包流量中提取出来并重新组合成数据文件后,他感到非常惊讶。现在更容易了,但是后来我不得不制作自己的工具。

– AJ亨德森
13年2月21日在18:06

历来最喜欢的时间节省程序...您遇到的图像以全分辨率显示在网络上...您正在运行Windows 7 ...截图工具。一次简单的拖动即可立即消除任何右键单击的无聊或图像保护的无聊。

–惨败实验室
13年2月22日在7:32

@FiascoLabs:是的。对我来说,在Ubuntu上使用Shift-PrintScrn,但原理相同。但是,我希望我的图像完美无瑕:P

– Manishearth
13年2月22日在7:38

#3 楼

实际上,我认为这可能会稍微损害安全性。被禁用按钮阻止的人将永远无法损害安全性。但是,禁用右键单击可能会使某个可以通过它的人烦恼而无法做到这一点,并且这样做可以打破可能导致该人继续黑客入侵的小障碍。 “这样可能会导致潜在的黑客质疑网站实施者的技能,这也可能会诱使黑客“检查”实施。

当然,这只是心理学和与网站的实际安全性无关,但我认为仍然是有效的观点。

评论


也许对您的前提的更强有力的支持是,更多的代码=更多的错误机会。

– Ladadadada
13年2月21日在8:47

实际上,我强烈质疑那些认为这可以提高安全性的人编写其他安全代码的能力。

– Dorus
13年2月21日在10:02

浏览器的上下文菜单中究竟有什么能损害银行网站(或就此而言,任何网站)的安全性?我检查了我的账户,没有“裂纹银行加密”选项。 :)如果您的安全性依赖于人们不从Web服务器下载资产,那么每天就会遭受数千次攻击-显示和下载之间没有区别。浏览器只是复杂的文件下载引擎。

–́Alexios
13年2月21日在10:40



@Alexios检查元素也许吗?或为此页面添加书签。 :)

–用户
13年2月21日在15:00



这绝对是荒谬的。这是心理方面:如果我发现您的网站阻止了右键单击,则将有更大的动机来破坏它。通过禁用上下文菜单而被阻止“继续黑客入侵”的“黑客”无论如何都无法对您的网站做任何事情。

–阿迪
13年2月21日在15:20



#4 楼


在银行网站上,我看到他们禁用了右键单击。这样会使网站更安全吗?


否。出乎意料的是:


您可以在页面加载时使用油膏猴删除其右键单击功能。
您可以保存网页,然后在您最喜欢的编辑器。
您可以使用wget(或任何其他无需阅读任何javascript即可获取该页面的客户端)再次获取该网页。
您可以使用任何网络来检查该页面的代码和内容-开发人员扩展到您的浏览器。


这是一种好的通用做法吗?就我所能想到的,他们实现的唯一目的是在他们的网站上获得较差的用户体验(您无法在其网站上使用浏览器的全部功能)和(如果我们正在寻找非常幼稚的网站所有者/经理/负责任的其他人)对安全的幻想。

#5 楼

令人惊讶的是,网站愚蠢地并非旨在应对单击“后退”或“前进”浏览器按钮的问题。例如,如果您单击“返回”,则某些银行或电子商务网站可能会提交两次交易。在这种情况下,可能会有尝试禁用右键单击的情况(其中包括这些选项)。

评论


+1-我以某种方式错过了您的答案,直到我发布了类似的内容。我怀疑情况确实如此,尽管显然有更明智的方法可以防止后退/前进导航重复提交事务。

– jimbob博士
13年2月21日在16:44



#6 楼

禁用右键单击不会影响安全性;尽管它本身并没有打开任何安全漏洞,但它的解决却非常琐碎。

让银行网站受益匪浅-他们可能会产生非安全影响旨在禁止右键单击。他们可能希望防止用户在银行网站上意外地执行意外操作。例如,您可能对只说“按一次提交”以防止表单重复提交的网站很熟悉。如果您按两次提交,那么您可能会两次发起汇款,这不是您想要的。当然,有很多更明智的方法可以完成此操作(在每个操作提交之前为每个操作提供唯一的ID,仅处理一次请求),等等。一个页面,访问另一个页面,然后在浏览器中按返回按钮以转到原始页面(而不是浏览其网站),以前访问的页面将不再起作用(例如,当您访问新页面时,令牌已过期页)。也许他们担心您会离开站点,然后攻击者可能会在您按几次回去并获取银行信息后使用计算机。 (再次,不是实现此目标的最明智的方法,而是说闲置5分钟后会话超时,并鼓励人们注销而不使用公用计算机。)

#7 楼

不,如果您需要安全的物品,请不要信任任何客户端物品。

作为示例,如果您仅在需要更高安全性的网站中进行客户端验证,那么您将失败。同时进行服务器和客户端的验证。

主要要点是-提供安全性意味着它不能保护资料。它增加了系统中断的时间。通过禁用右键单击,可以将中断时间增加一到两秒;)

#8 楼

我能想到的唯一可能的好处是,如果他们期望临时用户做一些愚蠢的事情,需要右键单击。我不知道有任何攻击媒介会在其中右键单击某些内容,从而导致可以利用此漏洞,因此我看不到此行为的任何有效安全说明。也许他们不希望用户复制和粘贴一些信息,并希望用户不了解ctrl-c和ctrl-v?

#9 楼

它可能旨在使网络钓鱼攻击的生活更加艰难。这样的想法是,攻击者需要创建一个令人信服的伪造页面,并且这样做,他自然会尝试从真实网页中保存图像,因此使获得图像的难度稍微提高一定是一件好事,对吗?

显然,它是完全无效的,并且只会带来负面的可用性,但是我认为这是一种想法,因为我已经看到sec产品声称防止下载公共Web资产具有某种防范网络钓鱼的价值。

#10 楼

是的,“禁用”右键单击确实会影响安全性。

“禁用”右键单击会诱使像我这样的用户关闭JavaScript。因此,用JavaScript实现的所有其他(相当差的)安全措施也将被关闭。

这就是所谓的适得其反的安全性。单击并没有真正禁用右键单击。它试图禁用右键单击,这只会使右键单击更加困难。某些Web浏览器甚至可以选择忽略这种荒谬的烦恼。]