我的客户有一个 friend 在做“安全测试”,他告诉他们我为他们构建的 PHP Zend Framework 应用需要在浏览器端做这些事情:
- 隐藏位置栏、工具栏、书签、菜单和后退/前进按钮
- 禁用右键单击
这显然是一个非常糟糕的主意。我已经指出,它隐藏了站点受 SSL 保护的事实,浏览器是否接受这些请求是可选的,而且真正的破解者无论如何都会找到绕过它的方法,因为它是客户端黑客。
除了这个想法不好之外,还有可能吗?我所做的基本测试表明这仅在版本 7 之前的 ie 中是可能的,而在 Firefox、Safari 和 Chrome 中根本不可能。这家伙坚持认为在这些浏览器中是可能的,我仍在等待概念证明。
- 这可能吗?在弹出窗口或同一窗口中。
- 可用性研究是否有拒绝这种方法的线索?
- 这个不到 5 年的想法是否有任何支持?
不过,更好的是:对这个想法的任何真正好的覆盖,尤其是来自安全机构的任何来源?
我的客户信任这个人,所以我必须找到一些非情绪化的反驳理由。
谢谢
最佳答案
指出
- 即使没有后退/前进按钮,几乎所有的 GUI 浏览器仍然有无法删除的键盘快捷键,例如alt-leftarrow/alt-rightarrow 用于导航,ctrl-d 用于书签等...
- 大多数浏览器的设置中都有“忽略禁用右键单击”选项。 2a.在右键菜单仍然可用的情况下,获取当前页面的 url 很简单,只需将其复制/粘贴到正常的非 gimped 窗口中,然后照常进行即可。
试图通过将“禁用”窗口强加于人们的喉咙来实现安全是糟糕的设计。一个好的站点不会关心您是否有文件或书签菜单,也不会关心后退/前进是否可用。删除它们只会掩盖错误的设计决策。
他所做的只是从用户的工具中取出一把锤子,但用户周围仍然有很多石头。
关于php - 我怎样才能说服我的客户试图隐藏浏览器工具栏是个坏主意?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5060032/