パスワードを忘れた? アカウント作成
15483644 story
Chromium

Chromium 系ブラウザーでページのソース表示がブロックできない問題、修正へ 20

ストーリー by headless
修正 部門より
Chromium 系ブラウザーの「URLのリストへのアクセスをブロックする」ポリシーでページソースの表示をブロックできない問題が修正されるようだ (Issue 895462Chromium Gerrit9to5Google の記事The Register の記事)。

この問題は 3 年前に報告されたもので、Google Forms を使用した学校のテストでソースに正解が含まれる問題が指摘されていた。ただし、Issue 895462 で挙げられている例題ではソースを見ても正解を特定できないとみられる。また、view-source:[URL] のように指定することで URL をブロック対象にしてもソースが表示されてしまうという問題も指摘されていたが、現在はURL がブロック対象になっていればソース表示もブロックされる。

現在のところ、Chrome の「URL のリストへのアクセスをブロックする」ポリシーを有効にして「view-source:*」を対象に追加すれば、Chrome Canary (バージョン: 98.0.4704.0) でソース表示のブロックが確認できる。ただし、「[ソースを表示しようとしたページのドメイン名] はブロックされています」と表示される (実際にはブロックされていない) ため、少しわかりにくい。
  • by Anonymous Coward on 2021年11月14日 16時59分 (#4151938)

    サイト側がソース表示を無効化しても、強制的にソース表示できるほうが、
    サイト側がへんなスクリプトとか動かしてないか。へんなサイトとか埋め込んでないか確認できるので、結果的に安全性が上がる

    難読化されてたら解析が難しいが

    ここに返信
    • by Anonymous Coward

      規約でリバースエンジニアリングは禁止しておきますのでソース見ないでください

    • by Anonymous Coward

      記事読んでもすごくわかりにくいからしかたない気もするけど、
      ブラウザのブロックリストに登録したURLでもソースは表示できてしまうという話なので

      > サイト側がソース表示を無効化

      はまったく関係ない。

      • by Anonymous Coward

        ブロックリストにhttps?://* 以外を設定出来てしまう。
        ってissueにしたほうが良かったな

  • by Anonymous Coward on 2021年11月14日 16時09分 (#4151914)

    ソース見られて困るって仕様の側がおかしくね?
    ブラウザが対応すべき部分なのか?これ。

    ここに返信
    • by Anonymous Coward on 2021年11月14日 17時46分 (#4151951)

      Issueを見る限り「ソースを見られると困る仕様」は起票者の勘違いっぽい。

      起票内容は:
      1.view-sourceをブロックできない。
      2.(1.のせいで)生徒がGoogle Formsの答えをソースから覗ける。
      だけども、

      具体的に2.の状況が発生する手順や例は以降のコメントでも投稿されてない。
      # 本ストーリーに記載されている例題は、再現した例ではなく
      # 「Google Formsで問題を作成したが、答えの情報はソースに無さそう」 [chromium.org]
      # の例だったりする。

      生徒が回答するページには含まれてないけども、
      編集モードの場合はソース上に答えが含まれるらしい(注:動画) [youtube.com]から、
      後者をみて勘違いしたのではと予想。

    • by Anonymous Coward

      開発者ツールも起動できないってこと?
      開発者ツールを開いたままアクセスするとどうなる?

      私もよくわからんです。

      • by Anonymous Coward

        検証のソースタブは左下の「{}」アイコンで整形できるからいつもこっち使ってる

    • by Anonymous Coward

      ペアレンタルコントロール的な機能の話じゃね?
      企業や学校、あるいは不特定多数が使うブラウザならそういうポリシーで制限かけたい時もあるだろ

      • by Anonymous Coward on 2021年11月14日 17時29分 (#4151947)

        9to5Googleの記事を読む限り、フィルタを迂回できてしまう事が問題らしい。

        it was reported to Google via the Chromium Bug Tracker that one of Chrome Enterprise’s existing policies — a URL blocklist — was unable to block requests to “view-source:” addresses. For example, a company could block access to “https://9to5google.com” but not to “view-source:https://9to5google.com.”

        曰く、Chrome Enterpriseには特定のページを表示させないためのブロックリストが設定できるが、
        そのリストに追加しても、view-source:をつけるとHTMLを表示できてしまう。

        Issueを見た感じ、32のコメント [chromium.org]で実例を示してる。

  • by Anonymous Coward on 2021年11月14日 16時17分 (#4151915)

    chrome.webRequest.onBeforeRequest.addListener
    でcancel;trueを返すことでブロックしてる場合は、viewsourceもブロックされた。

    ここに返信
  • ソースに答えを仕込んでるクソ仕様がわるい。

    ここに返信
    • by Anonymous Coward

      楽天マラソンのむずかしすぎる間違い探し「おおそうだな」

    • by Anonymous Coward

      普通ならそれで終わる話だが、そうならないという事はGoogle Formsの仕様に関連してくる?
      どちらにせよクソ仕様(作成者がアホ)だが。

    • by Anonymous Coward

      日本発のノーガード戦法が世界に普及

  • by Anonymous Coward on 2021年11月14日 17時01分 (#4151939)

    ダウンローダーでUA偽装してHTML保存されたら防げないじゃない
    HTMLを送って表示させる以上防ぎようがないし
    回避方法がある以上は小手先を実装すべきじゃないんじゃないかな
    難読化なり暗号化するか
    クライアントに秘匿情報送らないようにするか
    根本的な構造をどうにかスべき案件だと思われ

    ここに返信
    • by Anonymous Coward

      そもそも教育用途の端末は許可されたアプリ以外はインストールも起動もできないようにするのが一般的

  • by Anonymous Coward on 2021年11月14日 18時50分 (#4151972)

    動画データへの直接リンクのURLがばれて、ダウンロードされてしまうのが嫌だというサイトは多い。

    ここに返信
  • by Anonymous Coward on 2021年11月14日 19時33分 (#4151992)

    ブラウザ(chromium)の設定の話でしょ
    勘違いしてそうな人がチラホラ

    ここに返信
    • by Anonymous Coward

      ポリシーで禁止してもview-source経由のアクセルが止められないっていう純粋な仕様漏れバグがあったって話よね。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...