Facebook が詐欺から守るためにブラウザ開発者ツールを無効にする方法
Facebook は横行する詐欺と闘う取り組みとして、ブラウザに組み込まれている開発者ツール。この動きは注目を集めており、一部の専門家は技術的に不可能だと主張している。しかし、Facebook はそうではないことを実証しています。
ブロック メカニズム
Facebook は、コンソールの commandLineAPI プロパティをオーバーライドすることで、開発者ツールを効果的に無効にします。これは、アクセス時にエラーをスローするゲッターとしてプロパティを定義することで実現されます。
Object.defineProperty(console, '_commandLineAPI', { get : function() { throw 'Nooo!' } })
これにより、コンソールで実行されるコードが実行されなくなります。
ブロックする理由?
Facebook の行動の背後にある動機は、高度なソーシャル エンジニアリング攻撃からユーザーを保護することです。詐欺師は多くの場合、被害者を誘導して悪意のある JavaScript コードをブラウザ コンソールに貼り付けさせます。これにより、アカウントのハイジャックやその他の有害な結果が生じる可能性があります。
Chrome のバグ修正と追加の保護
ただし, Chromeのチームは、ユーザー側のJSからコンソールをブロックしていることをバグとして特定し、パッチを適用しました。ユーザーをさらに保護するために、Facebook は、ユーザーがだまされて自分のブラウザで悪意のあるコードを実行する self-xss を防ぐ追加の対策を実装しました。
影響
Facebook のアプローチのハイライトクライアント側の攻撃に対する懸念だけでなく、そのような対策の有効性についても疑問が生じます。開発者ツールを一時的にブロックすると当面の脅威は軽減できますが、そもそも悪意のあるコードの実行を防ぐという根本的な問題には対処できません。この問題をより包括的に解決するために追加のセキュリティ対策が採用されるかどうかはまだわかりません。
以上がFacebook の開発者ツール ブロックは詐欺に対する本当の解決策となるのでしょうか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。