みなさんの意見を聞きたいこと
HTMLソースの表示をブロックし、かつ、HTMLソース(Ctrl+Uだけではなく、view-sourceも)を表示された時にサーバーに情報を送信するものです
このプラグインのメリットとしては
な場面に使えると思うのですが
難点としては
が挙げられると思いますが
こういうプラグインって必要だと思いますか?
なお、ここでは、あえて「何」のプラグインかは申しておきませんが、たぶん世界中で最も有名なものです
HTMLソースの表示をブロックし、かつ、HTMLソース(Ctrl+Uだけではなく、view-sourceも)を表示された時にサーバーに情報を送信するものです
よくわからない。
ソースはどのような手段でも見えない(全く違う文字になっている等)ようになっており、見ようとするとサーバにその通知が行くってこと?
それともソースを見る方法は10個あって、そのうちの8個はブロック、残り2個の方法は見ようとすると通知が行く仕組みを備えたってこと?この場合はソースは見えるという理解でいい?
金融系等高セキュリティーが必要
クライアント側のソースコードを見たことによってセキュリティーが下がる、というのは重大なインシデント。クライアント側のコードを隠すことによってセキュリティが上がるという前提がそもそもおかしい。
難点としては
通常では発生しない通信が発生するので通信コストが上がる、というデメリットもありそう。
こういうプラグインって必要だと思いますか?
"単に汚いHTMLとかを見せたくない"以外のメリットはなさそうなので必要ないかと。
むしろ何のために作ったプラグインなんですか?その目的は達成できましたか?
そもそも現状の実装では
view-source: をすると、先頭にURL転送するためのわずかなJavaScriptと
<head>内の最低限必要なものだけが表示されます
具体的なロジックは申することはできないのですが
クライアントからcookieにてとある応答(URL転送したよ)というがなければ
view-source: されたと判断します
クライアント側のソースコードを見たことによってセキュリティーが下がる、というのは重大なインシデント。クライアント側のコードを隠すことによってセキュリティが上がるという前提がそもそもおかしい。
実はここは完璧なセキュリティー対処ではなく、view-sourceとか(他にもCtrl+P阻止とかもあるが)で
を、いじわるにもalertで表示するものだったりします
また、Webサイトのチートにも対応できるんじゃないかとも考えてます
googleやらYahoo Japanやらそういうサイトでは明らかに不要ですが、
金銭が(無料で)発生するような所では必要じゃないかと考えています
現に類似の実装をしているところも見られますが、ちょっとこれは方法が異なるようです
今の実装ではする気はありませんが、nslookupしたりwhoisしたりして、view-sourceした人に威圧をかけることも不可能ではありません
※view-sourceではalert出せないので、わずかな転送用のHTMLの先頭にコメントで入れとくと
むしろ何のために作ったプラグインなんですか?その目的は達成できましたか?
実は私はあくまで遊び心で作っているのですが
目的は達成しそうです
あくまで、プラグインは遊び
でも、これができれば特許申請もできそうです
念のため、HTMLダウンローダーとかそういうプラグインだかは既知です
でも、HTMLダウンローダーであっても、HTMLの先頭のコメントに対して(<!doctype html>より前に)
威圧もかけることができるわけです
セキュリティ的にはまったく意味ないですね。パケットキャプチャするとか、改造したブラウザで DOM をダンプするとか、プラグインの監視を逃れてソースを見る方法はいくらでもあると思います。ブラウザゲームで簡単なチート行為を防ぐくらいには使えそうですが。
そもそもユーザーに覗き見られるとセキュリティ的に困るようなデータを HTML に書くべきではないし、それが必要になる場面も思いつきません。
汚いソースについては……大抵のサイトのソースは大して綺麗ではないので気にすることはないし、どうしても恥ずかしいんだったら綺麗に書くべきでしょう。
単に汚いHTMLとかを見せたくない
一昔、個人ホームページに活気があった頃、一部の人たちが同じ思想でやってた無駄な小細工(右クリック禁止&アラート)を思い出します。
逆にあなたに問いたいのですが、現代にそんなの本当に必要(ニーズがある)と確信していますか?
金融系等高セキュリティーが必要
そういうことをやっている金融系は何処なんでしょうね?
例えばMUFGのWeb通帳は普通にソースを覗くことができます。
必要ならそれなりの対策を講じているはずです。
セキュリティーの意味をはき違えてるように思えます。
重要な部分はHTMLなんかよりもずっと奥深い部分にあると私は考えます。
こういうプラグインって必要だと思いますか?
必要ないと考えます。
難点(デメリット)が多すぎる上に、無駄な仕事が大きすぎです。
このプラグインを使ったことによって、事故った責任はどこに行くのでしょうね。
そう考えると、そのプラグインが無償だろうが有償だろうが選択肢に上がることはないと思われます。
クライアントからcookieにてとある応答(URL転送したよ)というがなければ
view-source: されたと判断します
応答を終えて最終的なページが表示された後に、 SingleFile のような現在の DOM を HTML 化して保存する拡張機能を使うと、そのプラグインでは検知も妨害もできないと思います。
そもそも現状の実装では
view-source: をすると、先頭にURL転送するためのわずかなJavaScriptと<head>内の最低限必要なものだけが表示されます
つまり、view-sourceを見ればリダイレクト先がわかって、そのリダイレクト先に直接アクセスしに行けば目的のサイトにたどり着けて、そこでならview-sourceできてしまうということ?
また、その仕組みだと開発者ツールのSourcesからソースコードが見れる気がするけど、そこも対策済み?
実はここは完璧なセキュリティー対処ではなく、view-sourceとか(他にもCtrl+P阻止とかもあるが)で
全然意図が汲めないのはわたしだけ?
それらがalertで表示されることと、セキュリティがどう関連してるかまったくわからない。
ある程度の知識があればそれらの情報をブラウザで取得できることを知っているから、意地悪にすらならないと思うけど。ましてやセキュリティどうのこうのには全くつながらないように思える。
セキュリティということは守るわけで、守るということは攻撃者がいるわけで、その攻撃者には悪意と技術があるわけで、その悪意と技術に負けない仕組みでなければセキュリティとは呼べないわけで。。。
