Php 我如何才能说服我的客户,试图隐藏浏览器工具栏是一个坏主意?
我的客户有一个朋友正在做“安全测试”,他告诉他们我为他们构建的PHP Zend Framework应用程序需要在浏览器端执行以下操作:Php 我如何才能说服我的客户,试图隐藏浏览器工具栏是一个坏主意?,php,javascript,security,browser,Php,Javascript,Security,Browser,我的客户有一个朋友正在做“安全测试”,他告诉他们我为他们构建的PHP Zend Framework应用程序需要在浏览器端执行以下操作: 隐藏位置栏、工具栏、书签、菜单和后退/前进按钮 禁用右键单击 这显然是一个极其糟糕的想法。我已经指出,它隐藏了这样一个事实:该站点是SSL安全的,浏览器可以选择是否满足这些请求,而且真正的破解者无论如何都会找到解决方法,因为这是一种客户端黑客行为 除了这个想法不好之外,还有可能吗?我所做的基本测试表明,这只在7版之前的ie中可能实现,而在Firefox、Sa
- 隐藏位置栏、工具栏、书签、菜单和后退/前进按钮
- 禁用右键单击
感谢Chrome,这是可能的,但只能通过命令行开关,不能通过javascript 例如,假设Chrome安装到c:/Chrome/Chrome.exe,那么您可以使用
c:/chrome/chrome.exe --app=http://mysite.com
这对于内部Web应用程序类型的应用程序很有用,但对于一般的Web浏览则不适用。指出
他所做的只是从用户的工具箱中取出一把锤子,但用户的周围仍然有很多石头。不确定这将提供多少帮助,我假设您已经签订了某种工作合同。干脆拒绝做。如果有必要,就走开。如果你的客户有一个朋友如此热衷于执行这种愚蠢的任务,那就让客户的朋友去做,然后继续 在我看来,你已经到了需要走路的地步,或者可能解雇你的客户 就我个人而言,我甚至会接受这个想法
祝你好运 至于实际说服力,也请他们展示他们的银行在线会计网站。然后将您的安全方法(https)与网上银行系统(https)使用的方法进行比较。如果他们的银行使用某种形式的地址或状态栏删除,那么您仍然可以采用这种方法。(只有
窗口。打开,这在当前浏览器配置中受到很大限制。)
Windows用户从视觉上感知安全性。提供您的建议,实现客户的愿望,只要它们不有害,然后走开。不要试图教育无法说服的科学家。我同意这是一个非常糟糕的想法,主要是从用户界面的角度来看。这样做,您就破坏了一个隐含的用户/应用程序契约,该契约规定应用程序不应超出必要的范围干扰用户的正常界面。简言之,这会让人生气
简单地说,通过几个演示,你将如何绕过它(参见Marc B的答案),就可以很容易地驳斥这种以某种方式增加安全性的想法
另一点是,如果这是一个“最佳实践”,你会看到很多人都在这样做。但你不知道,因为它不是。举一些安全声誉良好的机构(银行、国防部网站等)为例,说明它们不需要这些东西来确保安全。也许你可以指出什么(人机交互中的p.H.d.)
在可用性方面已经说过:
设计师打开新的浏览器窗口的理论是,它可以让用户留在他们的网站上。但是,即使不考虑接管用户机器所隐含的用户敌意信息,这种策略也会弄巧成拙,因为它会禁用后退按钮,这是用户返回以前站点的正常方式。用户通常不会注意到新窗口已经打开,特别是如果他们使用的是一个小监视器,其中窗口被最大化以填满屏幕。因此,试图返回原点的用户将被灰显的后退按钮弄糊涂
From:在第一手资料中,PHP在安全方面是一个非常糟糕的想法。安全的最终、基本、第一步是不信任客户端。如果你的“安全测试”朋友不明白这一点,我将不得不首先质疑他是否属于安全游戏。这家伙显然不是安全测试专家,因为他的改进都与安全有关。它们只是防止人们通过混淆来分解客户端代码的非常薄弱的方法。这将不允许那些无论如何都不会被打扰的人。你需要毫不含糊地告诉你的客户,他们得到的建议很糟糕,寻求他的建议是一种代价高昂的手段,绝对不会获得任何额外的安全感。当其他人反思你为他们所做的工作时,他们会想知道你为什么要添加这些木偶预防策略。不要