Sur un site Web bancaire, je vois qu'ils ont désactivé le clic droit. Est-ce que cela rend le site plus sûr? Est-ce une bonne pratique générale?
Cela rend-il le site plus sûr?
Non, cela ne change rien d'autre que votre capacité à commodément enregistrer des éléments d'une page. En utilisant le mode développeur d'un navigateur, en désactivant JS, en le remplaçant par un script différent qui désactive cette fenêtre contextuelle, ou en récupérant simplement les données du fil après avoir supprimé le SSL, tout fonctionnera.
Est-ce une bonne pratique générale?
C'est un mal que l'Internet a dû souffrir de la hauteur de la renommée de GeoCities lorsque les gens ne voulaient pas que vous "voliez" leurs photos très mal composées de pissenlits et d'animaux de compagnie. Dispensant tout le professionnalisme et étant aussi simple que possible, j'hésiterais peut-être à condamner une personne pour avoir frappé la partie responsable de tout site moderne en utilisant cette tête à l'envers avec une poêle en fonte. En dehors de cela, il est généralement tombé en disgrâce en raison d'être une combinaison inefficace et ennuyeuse. Par exemple, cela entraînerait également un mauvais comportement de mon correcteur orthographique.
La sécurité côté client n'est qu'un écran de fumée. Cela empêchera les personnes inexpérimentées de sauvegarder les images ou de jouer avec le HTML, mais on peut facilement le désactiver avec une seule ligne de javascript injecté. Vous pouvez jouer avec le HTML même sans cette ligne de JS, en utilisant Chrome Inspector.
J'ai vu de nombreuses astuces utilisées par les sites pour éviter que les images soient récupérées. L'une, bien sûr, piège la bulle du clic droit. L'autre consiste à superposer deux images (ou à utiliser une fonction CSS background-image:url()
), rendant la première "inaccessible" au clic droit. Mais cela n'empêchera que les gens qui n'en savent pas beaucoup plus que "clic droit> enregistrer l'image sous".
Est-ce une bonne pratique? Probablement pas. Il est toujours très facile pour les gens d'obtenir l'image. Mais oui, si vous voulez abattre le bassin de "voleurs" possibles, je suppose que c'est OK. Pourtant, vous devez accepter le fait qu'une fois que vous avez envoyé quelque chose au client, il peut être volé.
Veuillez ne pas faire ça. Votre sécurité doit être du côté de votre serveur. La sécurité côté client doit être sous la forme d'empêchements CSRF/clickjacking. Pas sous la forme de "rendre le code source difficile à jouer". Parce que c'est toujours peut être gâché.
En fait, je pense que cela pourrait compromettre la sécurité d'une fraction. Celui qui est empêché par la désactivation du bouton ne pourra jamais compromettre la sécurité. Mais désactiver le clic droit peut ennuyer quelqu'un qui peut le dépasser pour faire exactement cela, et en faisant cela, briser une petite barrière qui pourrait conduire la personne à continuer de pirater.
Un autre point est que des "fonctionnalités" comme celle-ci pourraient conduire un pirate informatique potentiel à remettre en question les compétences des implémenteurs du site, ce qui pourrait également inciter un pirate informatique à "vérifier" la mise en œuvre.
Bien sûr, ce n'est que de la psychologie et cela n'a rien à voir avec la sécurité réelle du site, mais c'est toujours un point valable, je pense.
Sur un site Web bancaire, je vois qu'ils ont désactivé le clic droit. Est-ce que cela rend le site plus sûr?
Du haut de ma tête:
vous pouvez utiliser greasemonkey pour supprimer leur fonctionnalité de clic droit lors du chargement de la page.
vous pouvez enregistrer la page Web, puis l'ouvrir dans votre éditeur préféré.
vous pouvez récupérer la page Web à nouveau, en utilisant wget (ou tout autre client qui obtient la page sans lire de javascript).
vous pouvez inspecter le code et le contenu de la page en utilisant n'importe quelle extension de développeur Web de votre navigateur.
Est-ce une bonne pratique générale?
Il limite les capacités de votre navigateur sur leur site Web. Pour autant que je puisse penser, la seule chose qu'ils réalisent est une expérience utilisateur plus pauvre sur leur site Web (vous ne pouvez pas utiliser toutes les capacités de votre navigateur avec leur site Web) et (si nous examinons des propriétaires/gestionnaires de sites Web très naïfs/autres responsables) une dangereuse illusion de sécurité.
Étonnamment souvent, les sites Web ne sont pas stupidement conçus pour faire face aux clics sur les boutons du navigateur "Précédent" ou "Suivant". Par exemple, certains sites Web bancaires ou de commerce électronique peuvent valider deux fois une transaction si vous cliquez sur "Retour". Dans de tels cas, il peut être utile d'essayer de désactiver le clic droit (où ces options sont incluses).
La désactivation du clic droit n'a aucun impact sur la sécurité; son complètement trivial pour se déplacer, même si elle seule n'ouvre pas de trous de sécurité.
Donner au site Web bancaire le bénéfice du doute - il pourrait éventuellement y avoir un effet non lié à la sécurité qu'ils voulaient en désactivant le clic droit. Ils peuvent vouloir empêcher les utilisateurs de faire accidentellement des actions involontaires sur le site Web bancaire.
Par exemple, vous connaissez peut-être les sites Web qui ne disent que "appuyez sur soumettre une fois" pour éviter que le formulaire ne soit soumis deux fois. Si vous appuyez deux fois sur Soumettre, vous pouvez lancer un transfert d'argent deux fois, ce qui n'était pas ce que vous vouliez. Certes, il existe des moyens beaucoup plus sûrs d'accomplir cela (donner à chaque action un ID unique avant sa soumission, ne traiter une demande qu'une seule fois), etc.
Ou peut-être qu'ils ont configuré le site que si vous chargez une page, visitez une autre page et appuyez sur le bouton de retour de votre navigateur pour accéder à la page d'origine (par opposition à la navigation sur leur site Web), la page visitée précédemment ne fonctionnera plus ( par exemple, un jeton a expiré une fois que vous avez visité une nouvelle page). Peut-être craignaient-ils que vous vous éloigniez d'un site, et un attaquant pourrait alors utiliser l'ordinateur après avoir appuyé plusieurs fois et accéder à vos informations bancaires. (Encore une fois, ce n'est pas la méthode la plus saine pour atteindre cet objectif, par opposition à une pause de session après 5 minutes d'inactivité et à encourager les gens à se déconnecter et à ne pas utiliser d'ordinateurs publics).
Non, si vous avez besoin de choses sécurisées, ne faites confiance à aucune chose côté client.
Par exemple, si vous ne faites que des validations côté client dans un site Web qui a besoin de plus de sécurité, vous allez échouer. Faites les deux validations, serveur et clients.
Et l'essentiel est - assurer la sécurité signifie ne pas sécuriser les choses. Cela augmente le temps de rupture du système. En désactivant le clic droit, le temps de pause peut être augmenté d'une seconde ou deux;)
Le seul avantage imaginable que je pourrais penser que cela pourrait offrir serait s'ils s'attendent à ce que l'utilisateur occasionnel fasse quelque chose de stupide qui nécessiterait un clic droit. Je ne suis au courant d'aucun vecteur d'attaque où un clic droit sur quelque chose pourrait provoquer un exploit, donc je ne vois aucune explication de sécurité valide pour ce comportement. Peut-être ne veulent-ils pas que l'utilisateur copie et colle des informations et espère que l'utilisateur ne connaît pas ctrl-c et ctrl-v?
Il est probablement destiné à rendre la vie plus difficile pour les attaques de phishing. L'idée serait qu'un attaquant ait besoin de créer une fausse page convaincante, et pour ce faire, il essaiera naturellement de sauvegarder des images de la vraie page Web, donc rendre l'accès à l'image légèrement plus difficile doit être une bonne chose, non?
De toute évidence, il est complètement inefficace et ne contribue qu'à une utilisation négative, mais je suppose que c'est la pensée, comme je l'ai vu, les produits sec prétendent que la protection contre le téléchargement d'actifs Web publics a une certaine valeur contre le phishing.
Oui, "désactiver" le clic droit a un impact sur la sécurité.
"Désactiver" le clic droit incite les utilisateurs comme moi à désactiver JavaScript. Ainsi, toutes les autres mesures de sécurité - plutôt médiocres - mises en œuvre dans JavaScript sont également arrêtées.
C'est ce que j'appelle la sécurité contre-productive .
["Désactiver" le clic droit n'est pas vraiment désactiver le clic droit . C'est essayer de désactiver le clic droit , et cela rend le clic droit plus difficile. Certains navigateurs Web ont même la possibilité d'ignorer simplement cette gêne absurde.]