Задать вопрос
Dier_Sergio_Great
@Dier_Sergio_Great
Увлеченный человек

Как для сайта сверстать защищенный режим браузера?

Программирую страницу отчётов на сайте. Суть в том что на странице отображаются секретные и очень важные данные пользователя. Таким образом:
1. URL страницы НЕ должен быть сохранён в истории.
2. URL страницы НЕ должен быть перехвачен вирусными расширениями браузера
3. ПО ВОЗМОЖНОСТИ: URL страницы НЕ должен быть перехвачен рекламными скриптами страницы.
4. Содержимое страницы так же не должно быть перехвачено вирусными расширениями браузера.
На сайте просто будет продаваться товар, а платёжные данные отображаемые на странице должны оставаться в секрете.

Сайт будет продавать билеты для посещения музея. Мне нужно чтобы после покупки выслался еmail и отобразилась страница с уникальным адресом на котором будет отображаться QR билета. Разумеется уникальная страница будет генерироватся после факта оплаты на ресурсе экваринга. Так что перейти по ссылке просто с сайта не получится. Но чтобы клиент мог ссылку переслать другому клиенту.
С емайлом разумеется справлюсь. Хеш пароль в адресную строку вставить тоже смогу. Но я много раз видел в браузере при оплате картой вкладка открывается в каком то защищённом режиме. Разве Вам такой режим вкладки не попадались?
Otlichiya-zashhishhennogo-rezhima-ot-obychnogo-v-YAndeks.Brauzere.png
  • Вопрос задан
  • 514 просмотров
Подписаться 3 Средний 9 комментариев
Решения вопроса 1
@anton99zel
29а класс средней школы №7
Странно, что ни одного ответа про защищенный режим.
Защищенный режим, когда строка браузере Зеленая, а не серая это работа Сертификата SSL.
Нужен EV SSL
https://habr.com/ru/company/globalsign/blog/469449/
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@rPman
Все правильно тебе говорят, все что видно в браузере клиенту - может видеть и программа.
Но можно очень простым способом сделать эту задачу очень сложной для "атакующих":

Сайт должен представлять из себя программу удаленного управления, а реальный сайт запускаться на кастомном браузере (без интерфейса, пишется в 10 строчек на любом языке программирования на основе готовых контролов браузерных webview - chromium/firefox/webkit).

Понадобится организовать сервере, что то типа очереди доступа к интерфейсу. Все собирается почти из готовых блоков.

На сервере xvfb + libvnc (лучше реализовывать серверную часть а не брать готовый полнофункциональный, хотя главное ведь запретить отсылку команд закрытия приложения и xserver, кажется у x11vnc есть соответствующие опции), в браузере - что то типа noVNC

Недостатки
- очень высокие требования к серверу (на каждого клиента потребуется десятки мегабайт RAM советую использовать старые или кастрированные версии компонент браузера, можно даже старой версии, например 10-летней давности webkit требовал 5-10 мегабайт, а современный полторы сотни)
- относительно высокий трафик для мультимедиа на сайте (не ваш вариант, у вас магазин)
- потребуется с осторожностью настраивать сайт и окружение (например без доступа к интернету), чтобы уменьшить шансы клиентам обойти ограничения и к примеру серфить или даже ддосить через такой механизм другие сайты

Достоинства:
- на стороне клиента - просто изображение, все что может сделать злоумышленник, это смотреть эту картинку, без какого либо анализа, ни одна рекламная сеть не рассчитывает на такой способ использования
- в некоторых случаях сетевой трафик может быть меньше чем если бы сайт открывается классическим способом (особо кривые реализации, когда html размером мегабайты, при этом без мультимедиа) и зависит не от сложности сайта а от количества действий, совершаемых с сайтом пользователем, а точнее скролинг и смена страниц), отзывчивость работы в таких случаях для пользователя может быть наилучшей, само собой эффективнее исправить сайт
Ответ написан
@AUser0
Чем больше знаю, тем лучше понимаю, как мало знаю.
Не сохранять URL в истории вы не сможете. Как и блокировать какие-бы то ни было расширения браузеров.

Но можно сделать по простому - при обычном обращении к странице ничего особенного не делать/не выводить. Но если обращение было с каким-нибудь особенным cookie (или значением в localStorage) - тогда отображать "секретное" содержимое. Тогда сколько не переходи на эту страницу без специального cookie - ничего не увидишь. А у этого cookie время жизни по минимуму, стирание при использовании, привязку к IP/браузеру/ещё чему-нибудь, да что угодно можно наворотить...

А лишний JS на странице - сами удалите, и всё.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы