Chromium 系ブラウザーでページのソース表示がブロックできない問題、修正へ 20
ストーリー by headless
修正 部門より
修正 部門より
Chromium 系ブラウザーの「URLのリストへのアクセスをブロックする」ポリシーでページソースの表示をブロックできない問題が修正されるようだ (Issue 895462、 Chromium Gerrit、 9to5Google の記事、 The Register の記事)。
この問題は 3 年前に報告されたもので、Google Forms を使用した学校のテストでソースに正解が含まれる問題が指摘されていた。ただし、Issue 895462 で挙げられている例題ではソースを見ても正解を特定できないとみられる。また、view-source:[URL] のように指定することで URL をブロック対象にしてもソースが表示されてしまうという問題も指摘されていたが、現在はURL がブロック対象になっていればソース表示もブロックされる。
現在のところ、Chrome の「URL のリストへのアクセスをブロックする」ポリシーを有効にして「view-source:*」を対象に追加すれば、Chrome Canary (バージョン: 98.0.4704.0) でソース表示のブロックが確認できる。ただし、「[ソースを表示しようとしたページのドメイン名] はブロックされています」と表示される (実際にはブロックされていない) ため、少しわかりにくい。
この問題は 3 年前に報告されたもので、Google Forms を使用した学校のテストでソースに正解が含まれる問題が指摘されていた。ただし、Issue 895462 で挙げられている例題ではソースを見ても正解を特定できないとみられる。また、view-source:[URL] のように指定することで URL をブロック対象にしてもソースが表示されてしまうという問題も指摘されていたが、現在はURL がブロック対象になっていればソース表示もブロックされる。
現在のところ、Chrome の「URL のリストへのアクセスをブロックする」ポリシーを有効にして「view-source:*」を対象に追加すれば、Chrome Canary (バージョン: 98.0.4704.0) でソース表示のブロックが確認できる。ただし、「[ソースを表示しようとしたページのドメイン名] はブロックされています」と表示される (実際にはブロックされていない) ため、少しわかりにくい。
むしろソース表示ができたほうがいいだろ (スコア:1)
サイト側がソース表示を無効化しても、強制的にソース表示できるほうが、
サイト側がへんなスクリプトとか動かしてないか。へんなサイトとか埋め込んでないか確認できるので、結果的に安全性が上がる
難読化されてたら解析が難しいが
Re: (スコア:0)
規約でリバースエンジニアリングは禁止しておきますのでソース見ないでください
Re: (スコア:0)
記事読んでもすごくわかりにくいからしかたない気もするけど、
ブラウザのブロックリストに登録したURLでもソースは表示できてしまうという話なので
> サイト側がソース表示を無効化
はまったく関係ない。
Re: (スコア:0)
ブロックリストにhttps?://* 以外を設定出来てしまう。
ってissueにしたほうが良かったな
よくわからんが (スコア:0)
ソース見られて困るって仕様の側がおかしくね?
ブラウザが対応すべき部分なのか?これ。
Re:よくわからんが (スコア:2, 興味深い)
Issueを見る限り「ソースを見られると困る仕様」は起票者の勘違いっぽい。
起票内容は:
1.view-sourceをブロックできない。
2.(1.のせいで)生徒がGoogle Formsの答えをソースから覗ける。
だけども、
具体的に2.の状況が発生する手順や例は以降のコメントでも投稿されてない。
# 本ストーリーに記載されている例題は、再現した例ではなく
# 「Google Formsで問題を作成したが、答えの情報はソースに無さそう」 [chromium.org]
# の例だったりする。
生徒が回答するページには含まれてないけども、
編集モードの場合はソース上に答えが含まれるらしい(注:動画) [youtube.com]から、
後者をみて勘違いしたのではと予想。
Re: (スコア:0)
開発者ツールも起動できないってこと?
開発者ツールを開いたままアクセスするとどうなる?
私もよくわからんです。
Re: (スコア:0)
検証のソースタブは左下の「{}」アイコンで整形できるからいつもこっち使ってる
Re: (スコア:0)
ペアレンタルコントロール的な機能の話じゃね?
企業や学校、あるいは不特定多数が使うブラウザならそういうポリシーで制限かけたい時もあるだろ
Re:よくわからんが (スコア:3, 参考になる)
9to5Googleの記事を読む限り、フィルタを迂回できてしまう事が問題らしい。
it was reported to Google via the Chromium Bug Tracker that one of Chrome Enterprise’s existing policies — a URL blocklist — was unable to block requests to “view-source:” addresses. For example, a company could block access to “https://9to5google.com” but not to “view-source:https://9to5google.com.”
曰く、Chrome Enterpriseには特定のページを表示させないためのブロックリストが設定できるが、
そのリストに追加しても、view-source:をつけるとHTMLを表示できてしまう。
Issueを見た感じ、32のコメント [chromium.org]で実例を示してる。
拡張もブロック (スコア:0)
chrome.webRequest.onBeforeRequest.addListener
でcancel;trueを返すことでブロックしてる場合は、viewsourceもブロックされた。
view-sourceをブロックできる事自体がセキュリティホール (スコア:0)
ソースに答えを仕込んでるクソ仕様がわるい。
Re: (スコア:0)
楽天マラソンのむずかしすぎる間違い探し「おおそうだな」
Re: (スコア:0)
普通ならそれで終わる話だが、そうならないという事はGoogle Formsの仕様に関連してくる?
どちらにせよクソ仕様(作成者がアホ)だが。
Re: (スコア:0)
日本発のノーガード戦法が世界に普及
無意味な実装はバグや脆弱線の温床 (スコア:0)
ダウンローダーでUA偽装してHTML保存されたら防げないじゃない
HTMLを送って表示させる以上防ぎようがないし
回避方法がある以上は小手先を実装すべきじゃないんじゃないかな
難読化なり暗号化するか
クライアントに秘匿情報送らないようにするか
根本的な構造をどうにかスべき案件だと思われ
Re: (スコア:0)
そもそも教育用途の端末は許可されたアプリ以外はインストールも起動もできないようにするのが一般的
動画サイト (スコア:0)
動画データへの直接リンクのURLがばれて、ダウンロードされてしまうのが嫌だというサイトは多い。
サイト側の設定の話じゃなくて (スコア:0)
ブラウザ(chromium)の設定の話でしょ
勘違いしてそうな人がチラホラ
Re: (スコア:0)
ポリシーで禁止してもview-source経由のアクセルが止められないっていう純粋な仕様漏れバグがあったって話よね。