En un sitio web bancario veo que han desactivado el clic derecho. ¿Eso hace que el sitio sea más seguro? ¿Es una buena práctica general?
¿Hace que el sitio sea más seguro?
No, no altera nada más que tu capacidad para convenientemente guardar elementos de una página. Usar el modo de desarrollador de un navegador, desactivar JS, anular esto con un script diferente que deshabilite esa ventana emergente, o simplemente extraer datos del cable después de eliminar el SSL, todo funcionará.
¿Es una buena práctica general?
Este es un dolor que Internet ha tenido que sufrir por la fama de GeoCities cuando la gente no quería que "robaras" sus muy mal compuestas fotos de dientes de león y mascotas familiares. Al prescindir de todo el profesionalismo y ser lo más directo posible, podría dudar en condenar a una persona por golpear a la parte responsable de cualquier sitio moderno usando esta cabeza con una sartén de hierro fundido. Aparte de eso, generalmente ha caído en desgracia debido a que es una combinación de inefectivo y molesto. Por ejemplo, también haría que mi corrector ortográfico se comportara mal.
La seguridad del lado del cliente es solo una cortina de humo. Evitará que personas sin experiencia guarden las imágenes o jueguen con el HTML, pero se puede desactivar fácilmente con una sola línea de javascript inyectado. Puedes meterte con el HTML incluso sin esta línea de JS, usando Chrome Inspector.
He visto muchos trucos utilizados por los sitios para evitar la obtención de imágenes. Uno, por supuesto, es atrapar la burbuja de clic derecho. La otra es superponer dos imágenes (o usar un CSS background-image:url() ), haciendo que la primera sea "inaccesible" al clic derecho. Pero eso solo evitará que las personas que no saben mucho más que "hacer clic derecho > guardar imagen como".
¿Es una buena práctica? Probablemente no. Todavía es muy fácil para las personas obtener la imagen. Pero sí, si quieres eliminar el grupo de posibles "ladrones", creo que está bien hacerlo. Aún así, debe aceptar el hecho de que una vez que envíe algo al cliente, puede ser robado.
Por favor no hagas esto. Su seguridad debe estar en su servidor. La seguridad del lado del cliente debe ser en forma de CSRF / clickjacking preventions. No en la forma de "hacer que el código fuente sea difícil de alterar". Porque siempre se puede desordenar con .
Realmente creo que podría comprometer la seguridad por una fracción. Quien se evite con la desactivación del botón nunca podrá comprometer la seguridad en absoluto. Sin embargo, deshabilitar el clic derecho podría molestar a alguien que pueda superarlo para hacer exactamente eso, y al hacerlo, romper una pequeña barrera que podría llevar a la persona a continuar pirateando.
Otro punto es que las "características" como esta podrían llevar a un posible pirata informático a cuestionar las habilidades de los implementadores del sitio, lo que también es algo que podría hacer que el pirata informático "verifique" la implementación.
Por supuesto, esto es solo psicología y no tiene nada que ver con la seguridad real del sitio, pero creo que es un punto válido.
En un sitio web bancario veo que han desactivado el clic derecho. ¿Eso hace que el sitio sea más seguro?
No. Fuera de la cabeza:
puede usar greasemonkey para eliminar su funcionalidad de clic derecho en la carga de la página.
puede guardar la página web y luego abrirla en su editor favorito.
puedes obtener la página web nuevamente, usando wget (o cualquier otro cliente que obtenga la página sin leer ningún javascript).
puede inspeccionar el código y el contenido de la página usando cualquier extensión de desarrollador web en su navegador.
¿Es una buena práctica general?
Limita las capacidades de su navegador en su sitio web. Por lo que puedo pensar, lo único que logran es una experiencia de usuario más deficiente en su sitio web (no puede usar todas las capacidades de su navegador con su sitio web) y (si nos fijamos en propietarios / administradores / sitios web muy ingenuos). otras personas responsables) una peligrosa ilusión de seguridad.
Sorprendentemente, a menudo los sitios web no están diseñados para hacer frente a los clics en los botones de navegación "Atrás" o "Adelante". Por ejemplo, algunos sitios web de banca o comercio electrónico pueden realizar una transacción dos veces si pulsa "Atrás". En tales casos, puede haber un caso para intentar deshabilitar el clic con el botón derecho (donde se incluyen estas opciones).
La desactivación del clic con el botón derecho no tiene ningún impacto en la seguridad; es completamente trivial moverse, aunque solo no abre ningún agujero de seguridad.
Dando al sitio web bancario el beneficio de la duda, posiblemente podría haber un efecto no relacionado con la seguridad que pretendían desactivar al hacer clic derecho. Es posible que deseen evitar que los usuarios realicen acciones involuntarias accidentalmente en el sitio web de la banca.
Por ejemplo, puede estar familiarizado con los sitios web que solo dicen "presionar enviar una vez" para evitar que el formulario se envíe por duplicado. Si presiona enviar dos veces, puede iniciar una transferencia de dinero dos veces, lo que no fue lo que deseaba. Por supuesto, hay maneras mucho más sensatas de lograr esto (dar a cada acción una ID única antes de su envío, solo procesando una solicitud una vez), etc.
O tal vez hayan configurado el sitio para que si carga una página, visita otra página y presiona el botón de retroceso en su navegador para ir a la página original (en lugar de navegar por su sitio web), la página visitada anteriormente no aparecerá. trabajo más largo (por ejemplo, hay un token que caducó una vez que visitó una nueva página). Tal vez temían que te alejaras de un sitio, y un atacante podría usar la computadora luego de presionar un par de veces y acceder a tu información bancaria. (Una vez más, no es el método más sensato para lograr este objetivo, en lugar de decir un tiempo de espera de sesión después de 5 minutos de inactividad y alentar a las personas a cerrar la sesión y no usar computadoras públicas).
No, si necesita cosas seguras, no confíe en las cosas del lado del cliente.
Como ejemplo, si solo realiza validaciones del lado del cliente en un sitio web que necesita más seguridad, se producirá un error. Realiza ambas validaciones, servidor y clientes.
Y lo más importante es que proporcionar seguridad significa que no está asegurando las cosas. Aumenta el tiempo para romper en el sistema. Al deshabilitar el clic derecho se puede aumentar el tiempo de interrupción en un segundo o dos;)
El único beneficio concebible que podría pensar que podría ofrecer sería si esperan que el usuario ocasional haga algo estúpido que requiera un clic derecho. No tengo conocimiento de ningún vector de ataque en el que hacer clic con el botón derecho en algo pueda hacer que se produzca una vulnerabilidad, por lo que no veo ninguna explicación de seguridad válida para este comportamiento. ¿Quizás no quieren que el usuario copie y pegue alguna información y espera que el usuario no sepa sobre ctrl-c y ctrl-v?
Probablemente esté destinado a dificultar la vida de los ataques de phishing. La idea sería que un atacante necesita crear una página falsa convincente, y para hacerlo naturalmente intentará guardar imágenes de la página web real, por lo que hacer que sea un poco más difícil llegar a la imagen debe ser algo bueno, ¿no?
Obviamente, es completamente ineficaz y contribuye solo con una capacidad de uso negativa, pero supongo que ese es el pensamiento que he visto en los productos que afirman que proteger contra la descarga de activos web públicos tiene algún tipo de valor contra el phishing.
Sí, "desactivar" el clic derecho tiene un impacto en la seguridad.
"Desactivar" el clic derecho incita a los usuarios como yo a desactivar JavaScript. Por lo tanto, todas las demás medidas de seguridad, más bien deficientes, implementadas en JavaScript también se cierran.
Eso es lo que llamo seguridad contraproductiva .
[“Inhabilitar” el clic derecho no es realmente inhabilitar el clic derecho . Se trata de intentar desactivar el clic derecho , y solo hace que el clic derecho sea más difícil. Algunos navegadores web incluso tienen la opción de ignorar esta molestia absurda.]
Lea otras preguntas en las etiquetas web-application banks appsec