Su un sito web bancario vedo che hanno disabilitato il tasto destro del mouse. Ciò rende il sito più sicuro? È una buona pratica generale?
Does it make the site any more secure?
No, non altera nient'altro che la tua capacità di comodamente salvare elementi da una pagina. Usando la modalità sviluppatore di un browser, disattivando JS, esegui l'override di questo con uno script diverso che disabilita tale pop-up o semplicemente estraendo i dati dal wire dopo che l'SSL ha funzionato.
Is it a good general practice?
Questo è un dolore che Internet ha dovuto soffrire per l'altezza della fama di GeoCities quando le persone non volevano che "rubassero" le loro foto composte da denti di leone e animali domestici. Dispensando tutta la professionalità ed essendo il più semplice possibile, potrei esitare a condannare una persona per aver schiaffeggiato la parte responsabile di qualsiasi sito moderno usando questa testa in alto con una padella di ghisa. A parte questo, in genere è caduto in disgrazia a causa di una combinazione di inefficacia e fastidio. Ad esempio, renderebbe anche il mio correttore ortografico scorretto.
La sicurezza del lato client è solo una cortina fumogena. Impedirà alle persone inesperte di salvare le immagini o fare scherzi con l'HTML, ma si può facilmente disabilitare con una sola riga di javascript iniettato. Puoi modificare l'HTML anche senza questa riga di JS, utilizzando Chrome Inspector.
Ho visto molti trucchi usati dai siti per evitare di recuperare immagini. Uno, naturalmente, sta intrappolando la bolla del clic destro. L'altro è sovrapporre due immagini (o usare un background-image:url() CSS), rendendo il primo 'inaccessibile' per fare clic con il tasto destro. Ma ciò impedirà solo alle persone che non sanno molto di più di "fare clic con il pulsante destro del mouse > salva immagine come".
È una buona pratica? Probabilmente no. È ancora molto facile per le persone ottenere l'immagine. Ma sì, se vuoi abbattere il pool di possibili "ladri", immagino che sia OK. Tuttavia, dovresti venire a patti con il fatto che una volta che hai inviato qualcosa al client, può essere rubato.
Per favore, non farlo. La tua sicurezza dovrebbe essere sul lato server. La sicurezza del lato client dovrebbe essere sotto forma di prevenzioni CSRF / clickjacking. Non nella forma di "rendere difficile il pasticcio con il codice sorgente". Perché sempre può essere incasinato.
In realtà penso che potrebbe compromettere la sicurezza di una frazione. Chi è impedito dalla disattivazione del pulsante non riuscirebbe mai a compromettere la sicurezza. Ma disabilitare il tasto destro potrebbe infastidire qualcuno che riesce a superarlo per farlo esattamente, e così facendo rompe una piccola barriera che potrebbe portare la persona a continuare a fare hacking.
Un altro punto è che "caratteristiche" come questa potrebbero portare un potenziale hacker a mettere in discussione le abilità degli implementatori del sito, il che è anche qualcosa che potrebbe indurre l'hacker a "controllare" l'implementazione.
Ovviamente questa è solo psicologia e non ha nulla a che fare con la reale sicurezza del sito, ma ancora un punto valido penso.
On a banking website I see that they have disabled right-click. Does that make the site any more secure?
No. Fuori di testa:
puoi utilizzare greasemonkey per rimuovere la funzionalità del tasto destro del mouse al caricamento della pagina.
puoi salvare la pagina web, quindi aprirla nell'editor preferito.
puoi recuperare la pagina web, usando wget (o qualsiasi altro client che ottiene la pagina senza leggere javascript).
puoi esaminare il codice e i contenuti della pagina utilizzando qualsiasi estensione per lo sviluppo web del tuo browser.
Is it a good general practice?
Limita le capacità del tuo browser sul loro sito web. Per quanto posso pensare, l'unica cosa che ottengono è una scarsa esperienza utente sul loro sito web (non è possibile utilizzare tutte le funzionalità del browser con il proprio sito Web) e (se stiamo guardando proprietari / gestori / proprietari di siti Web molto ingenui) altre persone responsabili) una pericolosa illusione di sicurezza.
Sorprendentemente, spesso i siti Web non sono progettati per far fronte ai clic sui pulsanti del browser "Indietro" o "Avanti". Ad esempio, alcuni siti Web bancari o di e-commerce possono eseguire il commit di una transazione due volte se si preme "Indietro". In questi casi, potrebbe essere necessario cercare di disabilitare il tasto destro del mouse (dove sono incluse queste opzioni).
La disattivazione del tasto destro non ha alcun impatto sulla sicurezza; è completamente banale da aggirare, anche se da solo non apre buchi di sicurezza.
Dare il beneficio del dubbio al sito web bancario - potrebbe esserci un effetto non di sicurezza che intendevano disabilitare il clic destro. Potrebbero voler impedire agli utenti di eseguire accidentalmente azioni indesiderate sul sito web bancario.
Ad esempio, potresti avere familiarità con i siti web che dicono solo "premi invia una volta" per impedire che il modulo venga inviato due volte. Se si preme invia due volte, quindi è possibile avviare un trasferimento di denaro due volte che non era quello che si intendeva. Certo, ci sono molti modi più sicuri per farlo (dando a ogni azione un ID univoco prima della sua presentazione, elaborando una richiesta una sola volta), ecc.
O forse hanno impostato il sito che se carichi una pagina, visiti un'altra pagina e premi il pulsante Indietro nel tuo browser per andare alla pagina originale (rispetto alla navigazione attraverso il loro sito web), la pagina visitata in precedenza non sarà lavoro prolungato (es. c'è un token che è scaduto dopo aver visitato una nuova pagina). Forse temevano che avresti spostato da un sito e un utente malintenzionato potrebbe quindi utilizzare il computer dopo averlo premuto un paio di volte e ottenere le informazioni bancarie. (Ancora una volta, non è il metodo più efficace per raggiungere questo obiettivo, invece di dire un timeout della sessione dopo 5 minuti di inattività e incoraggiare le persone a disconnettersi e non utilizzare computer pubblici).
No, se hai bisogno di cose sicure , non fidarti di nessuna parte del client.
Ad esempio, se esegui solo convalide sul lato client in un sito Web che richiede maggiore sicurezza, fallirai. Esegui entrambe le convalide, server e client.
E le cose principali sono: fornire sicurezza significa non proteggere gli oggetti. Aumenta il tempo di interruzione del sistema. Disabilitando il tasto destro si può aumentare il tempo di interruzione di secondo o due;)
L'unico beneficio immaginabile che potrei pensare potrebbe offrire sarebbe se si aspettassero che l'utente casuale faccia qualcosa di stupido che richiederebbe un clic destro. Non sono a conoscenza di alcun vettore di attacco in cui facendo clic con il tasto destro del mouse su qualcosa si potrebbe verificare un exploit, quindi non vedo alcuna spiegazione di sicurezza valida per questo comportamento. Forse non vogliono che l'utente copi e incolli alcune informazioni e spero che l'utente non sappia su ctrl-c e ctrl-v?
Probabilmente è destinato a rendere la vita più difficile per gli attacchi di phishing. L'idea è che un utente malintenzionato debba creare una falsa pagina convincente, e per farlo tenterà naturalmente di salvare le immagini dalla pagina Web reale, quindi renderlo leggermente più difficile arrivare all'immagine deve essere una buona cosa, giusto?
Ovviamente è completamente inefficace e contribuisce solo all'usabilità negativa, ma presumo che sia il modo di pensare visto che i prodotti sec affermano che proteggere dal download di risorse web pubbliche ha qualche valore contro il phishing.
Sì, la disattivazione del tasto destro ha un impatto sulla sicurezza.
"Disabilitare" il tasto destro, attira gli utenti come me a disattivare JavaScript. Quindi tutte le altre - piuttosto scadenti - le misure di sicurezza implementate in JavaScript vengono chiuse anche.
Questo è ciò che chiamo sicurezza controproducente .
["Disabilitare" il tasto destro non è in realtà disabilitando il tasto destro . È che tenta di disabilitare il tasto destro , e fa semplicemente clic con il tasto destro del mouse più difficile. Alcuni browser Web hanno persino la possibilità di ignorare questo assurdo fastidio.]
Leggi altre domande sui tag web-application banks appsec