みなさんの意見を聞きたいこと
HTMLソースの表示をブロックし、かつ、HTMLソース(Ctrl+Uだけではなく、view-sourceも)を表示された時にサーバーに情報を送信するものです
このプラグインのメリットとしては
な場面に使えると思うのですが
難点としては
が挙げられると思いますが
こういうプラグインって必要だと思いますか?
なお、ここでは、あえて「何」のプラグインかは申しておきませんが、たぶん世界中で最も有名なものです
HTMLソースの表示をブロックし、かつ、HTMLソース(Ctrl+Uだけではなく、view-sourceも)を表示された時にサーバーに情報を送信するものです
よくわからない。
ソースはどのような手段でも見えない(全く違う文字になっている等)ようになっており、見ようとするとサーバにその通知が行くってこと?
それともソースを見る方法は10個あって、そのうちの8個はブロック、残り2個の方法は見ようとすると通知が行く仕組みを備えたってこと?この場合はソースは見えるという理解でいい?
金融系等高セキュリティーが必要
クライアント側のソースコードを見たことによってセキュリティーが下がる、というのは重大なインシデント。クライアント側のコードを隠すことによってセキュリティが上がるという前提がそもそもおかしい。
難点としては
通常では発生しない通信が発生するので通信コストが上がる、というデメリットもありそう。
こういうプラグインって必要だと思いますか?
"単に汚いHTMLとかを見せたくない"以外のメリットはなさそうなので必要ないかと。
むしろ何のために作ったプラグインなんですか?その目的は達成できましたか?
そもそも現状の実装では
view-source: をすると、先頭にURL転送するためのわずかなJavaScriptと
<head>内の最低限必要なものだけが表示されます
具体的なロジックは申することはできないのですが
クライアントからcookieにてとある応答(URL転送したよ)というがなければ
view-source: されたと判断します
クライアント側のソースコードを見たことによってセキュリティーが下がる、というのは重大なインシデント。クライアント側のコードを隠すことによってセキュリティが上がるという前提がそもそもおかしい。
実はここは完璧なセキュリティー対処ではなく、view-sourceとか(他にもCtrl+P阻止とかもあるが)で
を、いじわるにもalertで表示するものだったりします
また、Webサイトのチートにも対応できるんじゃないかとも考えてます
googleやらYahoo Japanやらそういうサイトでは明らかに不要ですが、
金銭が(無料で)発生するような所では必要じゃないかと考えています
現に類似の実装をしているところも見られますが、ちょっとこれは方法が異なるようです
今の実装ではする気はありませんが、nslookupしたりwhoisしたりして、view-sourceした人に威圧をかけることも不可能ではありません
※view-sourceではalert出せないので、わずかな転送用のHTMLの先頭にコメントで入れとくと
むしろ何のために作ったプラグインなんですか?その目的は達成できましたか?
実は私はあくまで遊び心で作っているのですが
目的は達成しそうです
あくまで、プラグインは遊び
でも、これができれば特許申請もできそうです
念のため、HTMLダウンローダーとかそういうプラグインだかは既知です
でも、HTMLダウンローダーであっても、HTMLの先頭のコメントに対して(<!doctype html>より前に)
威圧もかけることができるわけです
セキュリティ的にはまったく意味ないですね。パケットキャプチャするとか、改造したブラウザで DOM をダンプするとか、プラグインの監視を逃れてソースを見る方法はいくらでもあると思います。ブラウザゲームで簡単なチート行為を防ぐくらいには使えそうですが。
そもそもユーザーに覗き見られるとセキュリティ的に困るようなデータを HTML に書くべきではないし、それが必要になる場面も思いつきません。
汚いソースについては……大抵のサイトのソースは大して綺麗ではないので気にすることはないし、どうしても恥ずかしいんだったら綺麗に書くべきでしょう。
単に汚いHTMLとかを見せたくない
一昔、個人ホームページに活気があった頃、一部の人たちが同じ思想でやってた無駄な小細工(右クリック禁止&アラート)を思い出します。
逆にあなたに問いたいのですが、現代にそんなの本当に必要(ニーズがある)と確信していますか?
金融系等高セキュリティーが必要
そういうことをやっている金融系は何処なんでしょうね?
例えばMUFGのWeb通帳は普通にソースを覗くことができます。
必要ならそれなりの対策を講じているはずです。
セキュリティーの意味をはき違えてるように思えます。
重要な部分はHTMLなんかよりもずっと奥深い部分にあると私は考えます。
こういうプラグインって必要だと思いますか?
必要ないと考えます。
難点(デメリット)が多すぎる上に、無駄な仕事が大きすぎです。
このプラグインを使ったことによって、事故った責任はどこに行くのでしょうね。
そう考えると、そのプラグインが無償だろうが有償だろうが選択肢に上がることはないと思われます。
クライアントからcookieにてとある応答(URL転送したよ)というがなければ
view-source: されたと判断します
応答を終えて最終的なページが表示された後に、 SingleFile のような現在の DOM を HTML 化して保存する拡張機能を使うと、そのプラグインでは検知も妨害もできないと思います。
そもそも現状の実装では
view-source: をすると、先頭にURL転送するためのわずかなJavaScriptと<head>内の最低限必要なものだけが表示されます
つまり、view-sourceを見ればリダイレクト先がわかって、そのリダイレクト先に直接アクセスしに行けば目的のサイトにたどり着けて、そこでならview-sourceできてしまうということ?
また、その仕組みだと開発者ツールのSourcesからソースコードが見れる気がするけど、そこも対策済み?
実はここは完璧なセキュリティー対処ではなく、view-sourceとか(他にもCtrl+P阻止とかもあるが)で
全然意図が汲めないのはわたしだけ?
それらがalertで表示されることと、セキュリティがどう関連してるかまったくわからない。
ある程度の知識があればそれらの情報をブラウザで取得できることを知っているから、意地悪にすらならないと思うけど。ましてやセキュリティどうのこうのには全くつながらないように思える。
セキュリティということは守るわけで、守るということは攻撃者がいるわけで、その攻撃者には悪意と技術があるわけで、その悪意と技術に負けない仕組みでなければセキュリティとは呼べないわけで。。。
昔、確かに右クリック禁止、url非表示などの手段があつて、金融系にもよく使われました。最近は脆弱性診断はよく強調し、ブラウザソースをみられても大丈夫の作りは求められています。
自分はWeb関連の仕事はしていませんが、汚いソースコードを見せたくないとか、セキュリティ問題を見せたくないとか、あまり意義を感じないなぁと思います。
それよりも、ソースコードを見せたくないのにこんなことをしたら、「ここに見せたくないソースコードがありますよ」と公言しているようなものじゃないですか。
「木を隠すならば森に隠せ」という言葉がありますが、隠したいのであれば他のサイトと変わりがないようにすることが重要ではないでしょうか。
つまり、view-sourceを見ればリダイレクト先がわかって、そのリダイレクト先に直接アクセスしに行けば目的のサイトにたどり着けて、そこでならview-sourceできてしまうということ?
view-sourceを見ればリダイレクト先がわかるのですが
実はそのリダイレクト先は同じURL
ちゃんと(cookie、JavaScript対応したGUIの)普通のブラウザで普通の操作をしなければ
一切見ることができないのです
ただのURLリダイレクトの割にはnonceも設定してあるので
なので、curlとかで見るとどうやってもみれないのです
気にしません。セキュリティが必要ならサーバーでブラックボックスに処理すれば良いだけです。
ブラウザが表示する以上、開発者ツールで全部見れますので。
確かに汚いHTML見られるのは嫌かもですがHTML minifyとかすれば良いですからね。
プラグインの意味がわからないし無意味だし
何かの操作でどこかのサーバーに勝手に情報を送るプラグインなんて
フリーのプラグインでも警告出るレベルかと思います
そもそもHTMLなんてURLがわかっている段階で誰からでも読めるでしょ?
情報の出し惜しみな上に金融系高等セキュリティとか
そもそも金融系はインターネット使ってないのでまったく話にならないのでは?
金融系が用意してるWEBサービスはあくまでそこと接続するための手段を用意してるだけで直接繋がってるわけではありません
ChromeのDevToolsを起動したタブでアクセスしたら、わざわざview-source:を使わなくても「ソース」や「ネットワーク」から見えますよ?
ここで見えないようにしてあるなら、そもそもサイト表示できませんし・・・。
そもそもデバッガ妨害のコードも入れてある前提で
画像が1回限りのワンタイムURLだったら
どう思いますか?
すでにいろんな人が同様の回答をしていますが、
セキュリティ的には無意味です。
ブラウザプラグイン的なものを想像していましたが WordPress のプラグインなんですね。
サーバ側から出来る妨害には限りがあるし、そもそも高いセキュリティが求められる案件で WordPress は使わない気がします。
意見の趣旨が変わってきますが、実際にそのWPプラグインをリリースしてはいかがですか?
意見を聞くと言うことはリリースの有無を含めた調査もあるのでしょう。
結局この場にない物を、永遠と意見を聞いても既にこれだけ多く「必要ない」と意見されてもなお「どう思いますか?」と言われてもどうとも思わないんです。既に答えは出ていますから。
この場での議論で技術的に無意味な結論と、市場ニーズがあるかどうかはまた別の話です。
であればあなたがそのプラグインを素晴らしいと考えているなら是非リリースすべきです。
そして実績を作れば良いのです。
特許申請も考えてるのであれば、ここで意見集めせず申請をするべきです(査請求書が通るのと、年間維持費をどう捻出するかは知りませんが)。
散々言われてますが、「ガラス張りの部屋の外からカーテンを付けただけ」みたいな話なので、中は簡単に見れます。つまり、エンジニア目線では完全に無意味です。難読化やデバッガ妨害も関係ありません。
とはいえ、ちょっとした遊び要素とか、気休めの工夫として気になる人もいるかもね、とは思います。
※なお本題とはずれますが、GitHubに公開された時点で、それは「公知の技術」とみなされるので、特許は基本的に取れません(先に申請していれば別ですが)。
DevToolsは閲覧時に再アクセスしているわけではないので、ワンタイムURLでも普通に見えますよ。
デバッガ妨害が具体的にどういう手法か分かりませんが、もしdebuggerを呼んでいるだけなら、ChromeのDevToolsの無視リストに入れてしまえば無視されちゃいます。あらかじめDevToolsを開いた状態で別のURLに飛ぶこともできる(というかそれができないとネットワークの監視ができない)ので、右クリックやコンテキストメニューを開くのを妨害しても意味ないですし。
見たい人は簡単に見れて、見ない人には無駄に通信と遅延が発生するだけなら、全く無意味だと思うんですけど。
