Question:
La désactivation du clic droit a-t-elle un impact sur la sécurité?
18bytes
2013-02-21 10:01:16 UTC
view on stackexchange narkive permalink

Sur un site Web bancaire, je constate qu'ils ont désactivé le clic droit. Est-ce que cela rend le site plus sécurisé? Est-ce une bonne pratique générale?

La désactivation du clic droit n'empêche pas une personne d'utiliser les kits d'outils de développement Web. Ceux-ci peuvent et permettront à la personne de modifier le code html, javascript et css. Cela signifie que la personne pourra toujours télécharger vos images et tromper votre sécurité côté client.
Bien sûr, cela rend plus de sites plus détestés donc plus piratables
Je tiens à souligner que, indépendamment du fait que cette pratique affecte ou non la ** sécurité physique ** d'un site, elle contribue à la ** sécurité perçue ** du site par la population en général.
@ChrisKerekes Je n'ai jamais entendu cette affirmation, je suis curieux de savoir s'il existe un article ou un site similaire qui parle d'affecter la `` sécurité perçue du site par la population en général ''?
Lorsque ma succursale HSBC locale a été rachetée par FirstNiagara, le système en ligne est passé à un service sur openbank.com. Depuis, j'ai fermé mes comptes parce que je ne fais tout simplement pas confiance à FirstNiagara avec mon argent. [Voici ce que vous obtenez lorsque vous faites un clic droit] (http://screencast.com/t/Gn9UqdCG4).
@SpellingD, [La psychologie de la sécurité] (http://www.schneier.com/essay-155.html) est un article de Bruce Schneier, auteur d'un certain nombre de livres sur le cryptage et la sécurité publiés par Wiley. Avertissement: je n'ai pas lu l'article dans son intégralité.
@ChrisKerekes Merci d'avoir pris le temps de lier l'article! J'ai lu tout cela et il n'y avait rien sur le clic droit et comment cela affecte le sentiment de sécurité. C'était peut-être dans un autre article. Au contraire, avec les informations présentées dans ce que vous avez lié, je dirais que cela implique que les gens percevraient cela comme * plus risqué * car il est «imposé de l'extérieur», «Rare», «Intentionnel», «Immédiat», «Les affectant personnellement »,« Entièrement sans utiliser de fonctionnalités »,« Incertain »et peut-être« Nouveau et inconnu ». Informations tirées du tableau 1 dans le lien.
Juste mon 0,02 $: Lorsqu'un site Web désactive quoi que ce soit, je considère que c'est un défi personnel (bien que ce ne soit jamais très difficile) de contourner leurs «mesures de sécurité» (lol).
@SpellingD, L'article en question énumère 5 perceptions, éventuellement différentes de la réalité, qui affectent la façon dont les individus évaluent le risque. La quatrième perception est «l'efficacité de la contre-mesure pour atténuer le risque». Dans le contexte d'un site bancaire, le risque est que mon compte soit compromis. Bien que je puisse ne pas être d'accord pour dire que ce risque est imposé de l'extérieur, je n'ai pas prétendu que la perte financière ou le vol d'identité avaient été minimisés. Au lieu de cela ** mon argument était qu'un utilisateur moyen peut mal juger de l'efficacité de la désactivation du clic droit **.
Pouvez-vous nous fournir un lien vers cette banque? Je vois ce comportement très courant sur les sites de mode et de médias. Probablement une mesure de protection pour les atteintes aux droits d'auteur.
Ironiquement, le site Web indien CERT-In (Indian Computer Emergency Response Team) utilise la même tactique.C'est la principale organisation gouvernementale chargée de prévenir la cybercriminalité en Inde.C'est vraiment agaçant.
Dix réponses:
Jeff Ferland
2013-02-21 10:29:15 UTC
view on stackexchange narkive permalink

Est-ce que cela rend le site plus sûr?

Non, cela ne modifie rien d'autre que votre capacité à commodément enregistrer des éléments depuis une feuille. Utiliser le mode développeur d'un navigateur, désactiver JS, remplacer cela par un script différent qui désactive cette fenêtre contextuelle, ou simplement récupérer des données sur le fil après avoir retiré le SSL fonctionnera.

Est-ce que c'est une bonne pratique générale?

C'est une douleur que l'Internet a dû souffrir de la hauteur de la renommée de GeoCities quand les gens ne voulaient pas que vous «voliez» leurs photos très mal composées de pissenlits et animaux de compagnie. Dispensant tout le professionnalisme et étant aussi simple que possible, j'hésiterais peut-être à condamner une personne pour avoir claqué le responsable de tout site moderne en utilisant cette tête avec une poêle en fonte. En dehors de cela, il est généralement tombé en disgrâce en raison d'être une combinaison d'inefficace et d'ennuyeux. Par exemple, cela entraînerait également un mauvais comportement de mon correcteur orthographique.

+1. Cela n'aide pas la sécurité et cela me fait chier.
De plus, quiconque * pense * que cela améliore d'une manière ou d'une autre la sécurité ne devrait pas vraiment se voir confier un site ** bancaire ** effrayant. J'aimerais savoir de quelle banque il s'agit pour éviter d'utiliser sa fonctionnalité bancaire sur Internet ...
@Shadur: Eh bien, les sites Web bancaires font notoirement des choses stupides .. Il arrive souvent que votre mot de passe doit être un "PIN" qui doit être composé de 4 chiffres, pas de lettres, ni plus ni plus court
+1 Juste pour l'image durable de la poêle et le bruit "Spang" révélateur que nous savons tous que cela ferait! :)
@Shadur, évite alors FirstNiagara.
Aucun avantage. Quiconque est suffisamment averti pour «pirater» ne sera pas contrarié par l’incapacité de faire un clic droit. Il désactive uniquement l'action d'un clic droit, et non la fonctionnalité fournie par un clic droit. "J'ai dépassé le cryptage 1024 bits, maintenant si seulement je pouvais faire un clic droit sur cette foutue image ..."
Cela me rappelle comment Zuckerberg a été condamné pour avoir «cambriolé», «piraté» et «volé» les photos de l'Annuaire sur les sites publics disponibles des universités. Ils avaient également désactivé le clic droit;) ... wget et cUrl sont vraiment des outils de piratage maléfiques, vous voyez?:RÉ
Manishearth
2013-02-21 14:35:06 UTC
view on stackexchange narkive permalink

La sécurité côté client n'est qu'un écran de fumée. Cela empêchera les personnes inexpérimentées de sauvegarder les images ou de jouer avec le HTML, mais on peut facilement le désactiver avec une seule ligne de javascript injecté. Vous pouvez jouer avec le HTML même sans cette ligne de JS, en utilisant Chrome Inspector.

Quand cette astuce est utilisée pour garder les images "sécurisées":

J'ai vu beaucoup de astuces utilisées par les sites pour éviter la récupération des images. L'un, bien sûr, est de piéger la bulle du clic droit. L'autre consiste à superposer deux images (ou à utiliser un CSS background-image: url () ), rendant la première "inaccessible" au clic droit. Mais cela ne fera qu'empêcher les gens qui ne savent pas grand chose de plus que "clic droit>save image as".

Est-ce une bonne pratique? Probablement pas. Il est toujours très facile pour les gens de se faire une image. Mais oui, si vous voulez abattre le pool de "voleurs" possibles, je suppose que c'est OK à faire. Néanmoins, vous devez accepter le fait qu'une fois que vous envoyez quelque chose au client, il peut être volé.

Lorsque cette astuce est utilisée pour garder le site Web "sécurisé"

Veuillez ne pas faire ça. Votre sécurité doit être du côté de votre serveur. La sécurité côté client doit prendre la forme de CSRF / clickjacking préventions. Pas sous la forme de "rendre le code source difficile à manipuler". Parce qu'il peut toujours être dérangé.

Quiconque veut vraiment l'image va pouvoir l'obtenir à moins qu'il ne soit * en fin de compte * incompétent en navigation Web. J'hésiterais à dire que la désactivation du clic droit ferait plus que ralentir quiconque.
@fgysin: I clic droit> ouvrir l'image dans un nouvel onglet. Alors je sauve. Si ce n'est pas ce que je voulais, j'inspecte la page dans Chrome et fais glisser la vraie URL en criant et en criant:
Ah, cela me rappelle les souvenirs d'un de mes copains à l'université pensant qu'il avait créé un DRM d'image "sécurisé" et m'a mis au défi de le casser. Il a été tellement surpris quand j'ai apporté l'image le lendemain après avoir extrait les détails de l'image du trafic de paquets et les avoir recomposés dans un fichier de données. Maintenant, c'est encore plus facile, mais j'ai dû créer mon propre outil.
Le gain de temps préféré de tous les temps ... Vous tombez sur une image qui s'affiche en pleine résolution sur le Web ... Vous utilisez Windows 7 ... Plus facile que de bander un agneau à des fins de wetherization, nous vous donnons le Outil de biopsie. Castrate instantanément toute sottise du clic droit ou toute sottise de protection d'image en un simple glissement.
@FiascoLabs: Yeppers. Shift-PrintScrn sur Ubuntu pour moi, mais même principe. Cependant, j'aime que mes images soient parfaites sans aucun problème de bordure: P
daramarak
2013-02-21 13:24:50 UTC
view on stackexchange narkive permalink

Je pense en fait que cela pourrait compromettre la sécurité d'une fraction. Celui qui est empêché par la désactivation du bouton ne pourra jamais compromettre la sécurité du tout. Mais la désactivation du clic droit peut ennuyer quelqu'un qui peut le dépasser pour faire exactement cela, et ce faisant, briser un petit obstacle qui pourrait conduire la personne à continuer à pirater.

Un autre point est que les "fonctionnalités" comme cela pourrait amener un pirate potentiel à remettre en question les compétences des implémenteurs du site, ce qui pourrait aussi inciter le pirate à "vérifier" l'implémentation.

Bien sûr, ce n'est que de la psychologie et je n'ai rien à voir avec la sécurité réelle du site, mais toujours un point valable je pense.

Peut-être qu'un meilleur support pour votre prémisse est que plus de code = plus d'opportunités pour les bogues.
En fait, je remettrais fortement en question la capacité des personnes qui pensent que cela améliore la sécurité à écrire d'autres codes sécurisés.
Qu'y a-t-il exactement dans le menu contextuel d'un navigateur qui peut nuire à la sécurité d'un * site bancaire * (ou, d'ailleurs, de n'importe quel site)? J'ai vérifié le mien, et il n'y a pas d'option «Crack banking encryption». :) Si votre sécurité repose sur des personnes qui ne téléchargent pas d'actifs depuis le serveur Web, vous êtes compromis des milliers de fois par jour - il n'y a * aucune * distinction entre l'affichage et le téléchargement. Les navigateurs ne sont que des moteurs de téléchargement de fichiers complexes.
@Alexios `Inspecter l'élément` peut-être? Ou `Ajouter cette page aux favoris`. `:)`
C'est absolument ridicule. ** Ceci ** est l'aspect psychologique: si je trouve que votre site Web empêche les clics droits, je serai plus incité à lui nuire. Les "hackers" qui ne peuvent pas _ "continuer à pirater" _ en désactivant le menu contextuel, ne peuvent de toute façon rien faire sur votre site Web.
@Adnan C'est plus comme, "ce site m'empêche de faire un clic droit, je me demande pourquoi / comment?" Cette petite question pourrait conduire à une enquête dans le code client et soudainement- "On dirait que ce site est sujet aux injections SQL"
@Alexios hein, je suppose que vous devez télécharger l'édition Chrome H4> <0r alors."Pirater cette page" apparaît totalement dans mon menu contextuel.
vous motivez en effet des gens comme moi en désactivant le clic droit .. :)
utnapistim
2013-02-21 17:42:06 UTC
view on stackexchange narkive permalink

Sur un site Web bancaire, je vois qu'ils ont désactivé le clic droit. Cela rend-il le site plus sécurisé?

Non. Du haut de ma tête:

  • vous pouvez utiliser greasemonkey pour supprimer leur fonctionnalité de clic droit lors du chargement de la page.

  • vous pouvez enregistrer la page Web, puis l'ouvrir dans votre éditeur préféré.

  • vous pouvez récupérer la page Web à nouveau, en utilisant wget (ou tout autre client qui obtient la page sans lire aucun javascript).

  • vous pouvez inspecter le code et le contenu de la page en utilisant n'importe quelle extension de développeur Web de votre navigateur.

Est-ce une bonne pratique générale?

Cela limite les capacités de votre navigateur sur leur site Web. Autant que je sache, la seule chose qu'ils réalisent est une expérience utilisateur plus médiocre sur leur site Web (vous ne pouvez pas utiliser toutes les capacités de votre navigateur avec leur site Web) et (si nous recherchons des propriétaires / gestionnaires de site Web très naïfs / autres personnes responsables) une illusion dangereuse de sécurité.

Gruber
2013-02-21 18:54:20 UTC
view on stackexchange narkive permalink

Étonnamment, souvent, les sites Web ne sont pas conçus pour gérer les clics sur les boutons du navigateur "Précédent" ou "Suivant". Par exemple, certains sites Web bancaires ou de commerce électronique peuvent commettre une transaction deux fois si vous cliquez sur "Retour". Dans de tels cas, il peut y avoir un cas pour essayer de désactiver le clic droit (où ces options sont incluses).

+1 - J'ai en quelque sorte manqué votre réponse juste après avoir publié quelque chose de très similaire. Je soupçonne que c'est le cas, bien qu'il existe évidemment des moyens plus sains d'empêcher la navigation arrière / avant de valider une double transaction.
dr jimbob
2013-02-21 22:42:02 UTC
view on stackexchange narkive permalink

La désactivation du clic droit n'a aucun impact sur la sécurité; il est tout à fait simple de se déplacer, bien que cela seul n'ouvre aucune faille de sécurité.

Donner au site Web de la banque le bénéfice du doute - il pourrait peut-être y avoir un effet non sécuritaire qu'ils voulaient de désactiver le clic droit. Ils voudront peut-être empêcher les utilisateurs de faire accidentellement des actions involontaires sur le site Web de la banque.

Par exemple, vous connaissez peut-être les sites Web qui disent uniquement "appuyez sur envoyer une fois" pour éviter que le formulaire ne soit soumis en double. Si vous appuyez deux fois sur Soumettre, vous pouvez lancer un transfert d'argent deux fois, ce qui n'était pas ce que vous vouliez. Certes, il existe des moyens beaucoup plus sains d'y parvenir (attribuer à chaque action un identifiant unique avant sa soumission, ne traiter une demande qu'une seule fois), etc.

Ou peut-être ont-ils configuré le site si vous chargez un page, visitez une autre page et appuyez sur le bouton retour de votre navigateur pour accéder à la page d'origine (au lieu de naviguer sur leur site Web), la page précédemment visitée ne fonctionnera plus (par exemple, il y a un jeton qui a expiré une fois que vous avez visité une nouvelle page ). Ils craignaient peut-être que vous vous éloigniez d'un site, et qu'un attaquant pourrait alors utiliser l'ordinateur après que vous ayez appuyé plusieurs fois sur vos informations bancaires. (Encore une fois, ce n'est pas la méthode la plus saine pour atteindre cet objectif, par opposition à un délai d'expiration de session après 5 minutes d'inactivité et à encourager les gens à se déconnecter et à ne pas utiliser les ordinateurs publics).

user827918
2013-02-21 11:22:07 UTC
view on stackexchange narkive permalink

Non, si vous avez besoin d'éléments sécurisés, ne faites confiance à aucune chose côté client.

À titre d'exemple, si vous ne faites que des validations côté client dans un site Web qui a besoin de plus de sécurité, vous échouerez. Faites à la fois les validations, le serveur et les clients.

Et le principal est - assurer la sécurité signifie qu'il ne sécurise pas les choses. Cela augmente le temps de rupture du système. En désactivant le clic droit, le temps de pause peut être augmenté d'une seconde ou deux;)

AJ Henderson
2013-02-22 00:13:18 UTC
view on stackexchange narkive permalink

Le seul avantage imaginable que je pourrais penser que cela pourrait offrir serait s'ils s'attendent à ce que l'utilisateur occasionnel fasse quelque chose de stupide qui nécessiterait un clic droit. Cependant, je ne connais aucun vecteur d'attaque où un clic droit sur quelque chose pourrait provoquer un exploit, donc je ne vois aucune explication de sécurité valide pour ce comportement. Peut-être ne veulent-ils pas que l'utilisateur copie et colle certaines informations et espère que l'utilisateur ne connaît pas ctrl-c et ctrl-v?

bobince
2013-02-22 17:17:25 UTC
view on stackexchange narkive permalink

Il est probablement destiné à rendre la vie plus difficile pour les attaques de phishing. L'idée serait qu'un attaquant ait besoin de créer une fausse page convaincante, et pour ce faire, il essaiera naturellement de sauvegarder les images de la vraie page Web, donc rendre légèrement plus difficile l'accès à l'image doit être une bonne chose, non?

De toute évidence, il est complètement inefficace et n'apporte qu'une convivialité négative, mais je suppose que c'est la pensée, comme j'ai vu les produits sec, affirmer que la protection contre le téléchargement d'actifs Web publics a une certaine valeur contre le phishing.

Nicolas Barbulesco
2013-03-07 03:28:41 UTC
view on stackexchange narkive permalink

Oui, "désactiver" le clic droit a un impact sur la sécurité.

"Désactiver" le clic droit incite des utilisateurs comme moi à désactiver JavaScript. Donc, toutes les autres mesures de sécurité - plutôt médiocres - implémentées dans JavaScript sont également fermées.

C'est ce que j'appelle sécurité contre-productive .

["Désactiver" le clic droit ne signifie pas vraiment désactiver le clic droit . Il essaie de désactiver le clic droit , et cela rend simplement le clic droit plus difficile. Certains navigateurs Web ont même la possibilité d'ignorer ce désagrément absurde.]



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...