Как я могу убедить своего клиента, что пытаться скрыть панель инструментов браузера - плохая идея?

Question

У моего клиента есть друг, который проводит «тестирование безопасности», и говорит им, что приложение PHP Zend Framework, которое я создал для них, должно выполнять следующие действия на стороне браузера:

• скрыть панель местоположения, панель инструментов, закладки, меню и кнопку назад / вперед
• отключить щелчок правой кнопкой мыши

Это явно монументально плохая идея. Я указал, что он скрывает тот факт, что сайт защищен SSL, что браузеры могут выполнять эти запросы необязательно, и что настоящие взломщики все равно найдут способ обойти это, поскольку это хак на стороне клиента.

В дополнение к плохой идее, возможно ли это? Базовые тесты, которые я провел, показывают, что это возможно только в 7-й версии, а не в Firefox, Safari, Chrome. Парень настаивает, что это возможно в этих браузерах, я все еще жду доказательства концепции.

1. Возможно ли это? Либо во всплывающем окне, либо в том же окне.
2. Есть ли какие-либо сведения о юзабилити-исследованиях, которые отвергают этот подход?
3. Есть ли где-нибудь поддержка этой идее, которой меньше 5 лет?

Лучше, хотя: удастся ли уничтожить эту идею, особенно из какого-либо источника, который является органом безопасности?

Мой клиент доверяет этому парню, поэтому мне нужно найти неэмоциональные контраргументы.

Спасибо

Answer 1

Укажите, что

1. Даже если кнопки «назад» / «вперед» пропали, почти во всех браузерах с графическим интерфейсом под солнцем все еще есть сочетания клавиш, которые нельзя удалить, например, alt-leftarrow / alt-rightarrow для навигации, ctrl-d для закладок и т. д ...
2. В большинстве браузеров есть опция «игнорировать отключение правой кнопкой мыши» в своих настройках. 2а. Если по-прежнему доступно меню правой кнопки мыши, тривиально получить URL-адрес текущей страницы, просто скопировать / вставить его в обычное окно без пробелов и продолжить в любом случае, как обычно.

Пытаться добиться безопасности, проталкивая «отключенные» окна в глотки людей, - плохой замысел. Хороший сайт не будет заботиться о том, есть ли у вас файл или меню закладок, и не будет заботиться о доступности вперед / назад. Их удаление просто прикрывает плохие дизайнерские решения.

Все, что он делает, - это удаляет молоток из комит пользователей, но у пользователей все еще есть много камней, лежащих вокруг.

Answer 2

Не уверен, какую помощь это окажет, и я предполагаю, что у вас есть какой-то договор о том, какая работа будет предоставлена. Просто отказывайтесь это делать. Уходи, если придется. Если у вашего клиента есть друг, который настроен на выполнение таких идиотских задач, пусть друг клиента сделает это и двинется дальше.

Похоже, вы попали в ситуацию, когда вам нужно идти или, возможно, уволить клиента.

Лично я бы даже развлек эту идею.

Удачи!

Answer 3

Я согласен, что это монументально плохая идея, в основном с точки зрения пользовательского интерфейса.Делая это, вы нарушаете неявный договор между пользователем и приложением, в котором говорится, что приложение не должно мешать нормальному интерфейсу пользователя больше, чем необходимо.Короче говоря, это разозлит людей.

Должно быть довольно легко снести идею о том, что это каким-то образом повышает безопасность, просто придумав несколько демонстраций того, как вы могли бы ее обойти (см. Ответ Марка Б.).

Другой момент заключается в том, что если бы это была "лучшая практика", вы бы увидели, что многие люди делают это.Вы не, хотя, потому что это не так.Возьмите несколько примеров учреждений, которые имеют надежную репутацию в сфере безопасности (банки, веб-сайт DOD и т. Д.), И покажите, что им не нужны такие вещи для обеспечения безопасности.

Answer 4

Возможно, вы можете указать, что Якоб Нильсен (доктор философии в области взаимодействия человека с компьютером) сказал об этом с точки зрения удобства использования:

Дизайнеры открывают новые окна браузера по теориичто он держит пользователей на своем сайте.Но даже не обращая внимания на враждебное для пользователя сообщение, подразумеваемое захватом компьютера пользователя, стратегия самоубийственна, поскольку отключает кнопку «Назад», которая является обычным способом возврата пользователей на предыдущие сайты.Пользователи часто не замечают, что открылось новое окно, особенно если они используют небольшой монитор, где окна максимально развернуты, чтобы заполнить экран.Таким образом, пользователь, который пытается вернуться к исходной точке, будет сбит с толку серой кнопкой «Назад».

От: # 9 в топ-10 ошибок в веб-дизайне

Answer 5

Что касается практической убедительности, также попросите их продемонстрировать свои банки на сайте учета сайта.Затем сравните свой подход к безопасности (https) с подходом, используемым системами онлайн-банкинга (https).Если их банк использует какую-либо форму удаления адреса или строки состояния, то вы все равно можете принять этот подход.(Существует только window.open, и это довольно ограничено в текущих конфигурациях браузера.)

Пользователи Windows воспринимают безопасность визуально.Предложите свой совет, реализуйте пожелания клиентов, пока они не наносят ущерба, а затем уходите.Не пытайтесь обучать неубедимых людей.

Answer 6

В Chrome это возможно, но только из командной строки, а не через javascript.

Например, скажем, Chrome установлен в c: /chrome/chrome.exe, после чего вы можете запустить свой сайтиспользование

c:/chrome/chrome.exe --app=http://mysite.com

Это полезно для приложений типа внутреннего веб-приложения, но не для общего просмотра веб-страниц.