Php 我如何才能说服我的客户，试图隐藏浏览器工具栏是一个坏主意？

我的客户有一个朋友正在做“安全测试”，他告诉他们我为他们构建的PHP Zend Framework应用程序需要在浏览器端执行以下操作：

• 隐藏位置栏、工具栏、书签、菜单和后退/前进按钮
• 禁用右键单击

这显然是一个极其糟糕的想法。我已经指出，它隐藏了这样一个事实：该站点是SSL安全的，浏览器可以选择是否满足这些请求，而且真正的破解者无论如何都会找到解决方法，因为这是一种客户端黑客行为

除了这个想法不好之外，还有可能吗？我所做的基本测试表明，这只在7版之前的ie中可能实现，而在Firefox、Safari和Chrome中根本不可能实现。这家伙坚持认为这在这些浏览器中是可能的，我仍在等待概念的证明

可能吗？在弹出窗口中或在同一窗口中

是否有拒绝这种方法的可用性研究线索

有没有任何地方支持这个不到5年的想法 但更好的是：有没有真正好的方法来推翻这个想法，特别是从安全机构的任何来源

我的当事人信任这家伙，所以我必须找到一些非情绪化的反驳

---

感谢Chrome，这是可能的，但只能通过命令行开关，不能通过javascript

例如，假设Chrome安装到c:/Chrome/Chrome.exe，那么您可以使用

c:/chrome/chrome.exe --app=http://mysite.com

这对于内部Web应用程序类型的应用程序很有用，但对于一般的Web浏览则不适用。

指出

即使“后退/前进”按钮消失了，几乎sun下的每个GUI浏览器都有无法删除的键盘快捷键，例如用于导航的alt leftarrow/alt rightarrow、用于书签的ctrl-d等等

大多数浏览器的设置中都有“忽略禁用右键单击”选项。 2a。在右键菜单仍然可用的情况下，只需获取当前页面的url，并将其复制/粘贴到正常的非gimped窗口中，然后照常进行即可

试图通过将“禁用”的窗户塞进人们的喉咙来实现安全性是一个糟糕的设计。一个好的网站不会在意你是否有一个文件或书签菜单，也不会在意是否有后退/前进功能。删除它们只会掩盖糟糕的设计决策

---

他所做的只是从用户的工具箱中取出一把锤子，但用户的周围仍然有很多石头。

不确定这将提供多少帮助，我假设您已经签订了某种工作合同。干脆拒绝做。如果有必要，就走开。如果你的客户有一个朋友如此热衷于执行这种愚蠢的任务，那就让客户的朋友去做，然后继续

在我看来，你已经到了需要走路的地步，或者可能解雇你的客户

就我个人而言，我甚至会接受这个想法

---

祝你好运

至于实际说服力，也请他们展示他们的银行在线会计网站。然后将您的安全方法（https）与网上银行系统（https）使用的方法进行比较。如果他们的银行使用某种形式的地址或状态栏删除，那么您仍然可以采用这种方法。（只有

窗口。打开
，这在当前浏览器配置中受到很大限制。）

Windows用户从视觉上感知安全性。提供您的建议，实现客户的愿望，只要它们不有害，然后走开。不要试图教育无法说服的科学家。
我同意这是一个非常糟糕的想法，主要是从用户界面的角度来看。这样做，您就破坏了一个隐含的用户/应用程序契约，该契约规定应用程序不应超出必要的范围干扰用户的正常界面。简言之，这会让人生气

简单地说，通过几个演示，你将如何绕过它（参见Marc B的答案），就可以很容易地驳斥这种以某种方式增加安全性的想法

另一点是，如果这是一个“最佳实践”，你会看到很多人都在这样做。但你不知道，因为它不是。举一些安全声誉良好的机构（银行、国防部网站等）为例，说明它们不需要这些东西来确保安全。
也许你可以指出什么（人机交互中的p.H.d.）
在可用性方面已经说过：

设计师打开新的浏览器窗口的理论是，它可以让用户留在他们的网站上。但是，即使不考虑接管用户机器所隐含的用户敌意信息，这种策略也会弄巧成拙，因为它会禁用后退按钮，这是用户返回以前站点的正常方式。用户通常不会注意到新窗口已经打开，特别是如果他们使用的是一个小监视器，其中窗口被最大化以填满屏幕。因此，试图返回原点的用户将被灰显的后退按钮弄糊涂

From:
在第一手资料中，PHP在安全方面是一个非常糟糕的想法。安全的最终、基本、第一步是不信任客户端。如果你的“安全测试”朋友不明白这一点，我将不得不首先质疑他是否属于安全游戏。这家伙显然不是安全测试专家，因为他的改进都与安全有关。它们只是防止人们通过混淆来分解客户端代码的非常薄弱的方法。这将不允许那些无论如何都不会被打扰的人。你需要毫不含糊地告诉你的客户，他们得到的建议很糟糕，寻求他的建议是一种代价高昂的手段，绝对不会获得任何额外的安全感。当其他人反思你为他们所做的工作时，他们会想知道你为什么要添加这些木偶预防策略。不要