Q&A
すみません、何が言いたいのかさっぱりわかりません。
具体的に何をしたときのどこが問題だと認識されているのでしょうか?
本来ならできないことをブラウザ側で許可してできるようにした
(ざっくりいったらできるが)
これはコンソールからコードの直接実行など
便利な反面悪用に使える機能をなぜ搭載したのか?
開発者にとって便利というよりも他者がWEB分析するのに便利になっただけではないのか?
自分が作ったサイトをオープンにするなら、
どんなケースでコンソールからコードをわざわざ実行する?
(開発者であれば別にブラウザのコンソールから実行する必要はない)
ネットワークの通信ログも丸裸にする意味もあるのか?
(どことどんな通信が行われてるか第三者が把握する意味は?一昔前はパケットモニタリングツールもUGツール扱いだったはずでは?)
自分で作ってオープンにしてるなら少なくとも管理者は把握できてるはず
なぜ、第三者に分析しやすくする機能を与えた?
教えてください
ざっくりいうと
任意のコード(POST)をコンソールから自由に送れる
CSSのセレクタを一発で書き出せるのでスクレイピングにもつながる
通信ログがわかれば通信ログから追っかけてのAPIの割り出しなど
対策すればいいで片づけられることかもしれませんが
犯罪者には歓喜ツールではないのかということです
ものすごい極端な話をします
teratailに連続投稿プログラムを作ろう
でもデータ何送ってるのか調べるのだりいわ
デペロッパーツールのネットワークからどんな値が送られてるのか一発でわかります
しかも再送信なんて機能も付いてます
誰がどの場面で再送信なんてしようと思いますか?
デペロッパーツールを知らないユーザは再送信するならば
手動入力するはずです
デベロッパツールにはFetch APIでPOSTコードを書き出す機能もついてるので
あとはsetIntervalで回せばどうなりますか
対策してないほうが悪いというなら
知識がない層の被害が広がるだけです
仮にその操作が複雑であっても知識のない層の作成したネットワークに脆弱性が存在することを防ぐことにはなりません、
現実世界でもナイフのような危険なものが平気で販売されているけれど、人を簡易的に殺すことができるから禁止すべきだとはほとんどの場合なりません。
家庭のキッチンにチャイルドロックがなければ道徳心のない子供が簡単に持ち出すことだって不可能ではありません。
それらのリスクは許容する選択をしたと言うだけです。
なんの問題もないわけではありません。
回答5件
0
ベストアンサー
正直なにを問題視しているかわかりません。
http(s)ベースでWEBページが公開されている以上、常に攻撃対象です。
自鯖をたちあげてインターネットに公開したことがある人間であればhttpdのログがカオスなほど攻撃にあっていることは身にしみてわかっているでしょう。
本気で攻撃したければ開発ツールなんて非効率な方法より、クローラーやBOT、自前のツールをつくって自由に攻撃するでしょう。質問者さんが心配するほど開発ツールレベルのものは大した脅威にはならないということです。
つまり防衛をするのは公開側の課題だということです。極端に多いアクセスにはIPアドレスを指定して接続を拒否する機能はhttpdにもありますし、ネットワークを監視してファイアウォールでも弾けます。商業ベースで言えば攻撃を監視してフィルターしてくれるプロ業者もたくさんあります。
そして攻撃による被害に対しては司法対応も可能です(参考:岡崎市中央図書館事件)し、逆に脆弱でなくても広告やキャンペーンでWEB公開したものがアクセスが集中して鯖落ちすることなんてよくあることです。
繰り返しになりますが「開発ツールレベルのものは大した脅威ではない」がすべてです。
投稿2024/09/06 03:17
総合スコア116629
0
本来ならできないことをブラウザ側で許可してできるようにした
そもそも、この前提が正しくありません。サーバからHTTPで送ってしまった情報は、クライアント側で好きにして構わないものなのです。
一昔前はパケットモニタリングツールもUGツール扱いだったはずでは?
単に「一般人がそのような情報を求めないだけ」であって、自分が行っている通信の内容を自分で確認するのは何一つ問題ありません。
なぜ、第三者に分析しやすくする機能を与えた?
攻撃者にとってはブラウザになければ別途ツールを用意するだけの話です。ブラウザにあるから危険度が増すものではありません。
投稿2024/09/06 06:13
総合スコア145956
0
なぜ、第三者に分析しやすくする機能を与えた?
教えてください
もともと、ブラウザにはそういう機能はなかったけど、サイトの開発者はブラウザ戦争のころはいろいろなブラウザごとのふるまいの違いで苦労してたりした。
そういう開発者を支援するためのツールをプラグインとして誰かが作って公開して人気になった。
そういうプラグインを持っているブラウザは開発者に好まれ、サイトのサポートが改善した。
結果として、そのブラウザの人気が高まった。
ブラウザ開発者はそのプラグインを 正式機能として取り込み、また、他のブラウザも同様の対応を行なった。
私見ですが以上のような感じでしょう。
便利な反面悪用に使える機能をなぜ搭載したのか?
サイトの開発にはその機能があると便利だからです。
開発者ツールのような機能がついていることによる危険性が是非については他の方の意見と同様です。
投稿2024/09/06 06:11
総合スコア13732
0
Webブラウザはhttpを介して文書をWebサーバーにリクエストし、返してもらいます。当然この返してもらったデータの情報はローカルで扱われるため、その情報がどう扱われるかはローカル側でしか知ることが出来ません。
これは構造上どうしようもないと思いますがなにか解決策がありますか?
もしないのであれば何に文句を言いたいのでしょうか。
どんなツールであれ「きっと誰かが作る」し、ローカルで何が行われるかを禁止することは出来ません。
PC自体に遠隔操作のツールをねじ込めばいいですが、プライバシーの問題からして明らかにNGでしょう。
投稿2024/09/06 02:44
総合スコア320
例えばどことどこが通信されてるかなど
実は具体的にはわからないんですよ
リダイレクト先などは表立ったソースコードからはわかりません
ですので全て丸裸にされているのです
ソースコード見てa.htmlからb.htmlへリダイレクトされててそれがわかるのがネットワークタブですよ
レスポンスが返されてる内容が全てではありません。
それを手助けしてるツールということになります。
それはヘッダーにリダイレクトの情報が含まれているということではなくですか?
それならすみません。Webブラウザのデベロッパーツールが不正にサーバーから情報を抜いているなら最悪ですね。
みんなで騒ごう。
知らない人の作ったWebページに気軽にアクセスした際に、そのサイトが実は悪意のある管理者の元運営されていて、不正を行っているかどうかを解析してくれてるとしたら、自分的にはとても嬉しい限りです。
0
開発者ツールの機能の理由を知りたいのではなくて、ただ現状に文句を言いたいだけですよね。理由を知ったところで質問者さんの問題は解決しないと思うので。
開発者ツールの存在が邪魔なら、デスクトップでは Electron などでアプリを配布することが候補になります。
「このページでは開発者ツールを開くことを禁止する」のような宣言ができるように標準化団体に提案するといいかもしれません。
投稿2024/09/06 02:40
総合スコア21666
ただ文句を言いたいというのは違いますね
文句言ったところで何か解決されるのでしょう?
そう受け止めた人間からの答えほど無意味な答えはありません。
あなたの回答
tips
プレビュー
