Чтобы исправить давнюю ошибку, которая позволяла просматривать ограниченные URL-адреса и иногда раскрывать ответы на тесты, ИТ-администраторы скоро смогут блокировать Google Chrome и Microsoft Edge от просмотра исходного кода веб-страниц.
Прежде чем мы углубимся в то, что может делать эта политика и является ли она хорошим решением, нужно сразу прояснить один момент. Эта статья посвящена корпоративной политике, которую можно рассматривать как опцию, доступную только администраторам устройств/учетных записей, принадлежащих компании или организации. Если вы не используете Chromebook, принадлежащий школе/компании, или не используете Chrome Enterprise, эта корпоративная политика напрямую вас не затронет.
Проще говоря, когда вы переходите на веб-сайт, ваш браузер получает HTML, CSS и JavaScript код страницы с сервера. Затем ваш браузер интерпретирует и отображает этот код в полноценную веб-страницу.
Даже после всей этой работы по рендерингу вы все равно можете просмотреть необработанный код страницы, нажав Ctrl-U (или щелкнув правой кнопкой мыши где-нибудь на странице и выбрав «Просмотр исходного кода страницы»). Или вы можете получить интерактивное представление кода страницы, используя DevTools Chrome, нажав F12 или Ctrl-Shift-I. Эти инструменты особенно полезны для веб-разработчиков (от абсолютных новичков до экспертов) для отладки проблем с их собственными сайтами или просто для того, чтобы узнать больше о том, как были сделаны их любимые сайты.
В 2018 году через Chromium Bug Tracker было сообщено Google, что одна из существующих политик Chrome Enterprise — список блокировки URL-адресов — не могла блокировать запросы к адресам «view-source:». Например, компания могла заблокировать доступ к «https: //9to5google.com», но не к «view-source:https: //9to5google.com». Это позволило бы легко обойти методы блокировки адресов Chrome Enterprise, при условии, что кто-то захотел бы прочитать исходный код страницы или вставить код в инструмент предварительного просмотра HTML.
Более того, некоторые ИТ-администраторы школ обнаружили, что некоторые онлайн-инструменты для тестирования — по сообщениям, включая Google Forms — в некоторых случаях раскрывают правильные ответы на тестовые вопросы через исходный код страницы. Из-за этой проблемы, связанной со страницей, ИТ-администраторы хотели заблокировать просмотр исходного кода этих страниц или, возможно, заблокировать просмотр исходного кода вообще.
Члены команды Chromium несколько раз пытались решить эту проблему за годы, но так и не предприняли решительных действий. Как было опубликовано на форуме Hacker News, Microsoft — которая теперь имеет долю в Chromium, так как Microsoft Edge работает на Chromium — теперь предложила решение, которое корректно блокирует возможность просмотра исходного кода, если определенный веб-сайт находится в списке блокировки организации.
Это решение также способно блокировать любую возможность просмотра исходного кода страницы. Это предназначено для использования в сочетании с другой, существующей политикой, которая может полностью блокировать использование DevTools Chrome.
Неудивительно, что предоставление администраторам возможности блокировать просмотр исходного кода всех веб-сайтов задело энтузиастов, особенно на Hacker News, где разработчики делятся историями о том, как просмотр исходного кода различных страниц был необходимым шагом на их пути к становлению разработчиками.
Многие лучшие специалисты в области ИТ добились успеха сегодня, потому что им было любопытно, как все работает, они экспериментировали с этим, нарушали правила и учились на этом. Это любопытство нужно поощрять, а не останавливать.
— kuschku
Можно утверждать, что администраторы имеют право отключать определенные функции устройств, которые они предоставляют студентам/сотрудникам, но для некоторых детей Chromebook, который они получают от школы, может быть единственным компьютером, к которому у них есть доступ. В такой ситуации полная блокировка возможности просмотра исходного кода может рассматриваться как потенциальное подавление любопытства ребенка к тому, как работает Интернет.
Блокировка злонамеренного использования просмотра исходного кода — обход списков блокировки или списывание на тесте — приемлема, но, по мнению автора, разрешение администратору полностью блокировать исходный код — это слишком. Тем не менее, решение о том, что блокировать на своих компьютерах, остается за каждым ИТ-администратором школы/компании.
Поскольку соответствующее изменение кода было только что добавлено в исходный код Chromium за последние несколько дней, это изменение корпоративной политики вступит в силу только с версии Chrome/Edge 98.