È un rischio per la sicurezza utilizzare un browser Web sconosciuto?

È molto pericoloso.

• Hai ragione nel sottolineare che il browser decide se la connessione è sicura o meno ( HTTPS ). Il browser non solo avvia la connessione, ma sceglie anche la chiave simmetrica che verrà utilizzata per la connessione sicura (le chiavi assimetriche sono utilizzate solo per impostare la connessione). Ipoteticamente, un browser potrebbe utilizzare una chiave simmetrica predefinita e l'utente penserebbe comunque che la sessione sia crittografata in modo sicuro (anche se lui / lei ispezionerebbe il traffico usando wireshark per esempio). Inoltre, il browser potrebbe scegliere di accettare qualsiasi certificato come valido, che è probabilmente il trucco più facile da implementare.
• Al browser sconosciuto potrebbe anche non interessare la politica della stessa origine , che porta a cookie di autenticazione da un dominio inviato a qualsiasi altro dominio. Per saperne di più sulla politica della stessa origine, consulta questo sito web per ulteriori informazioni.
• Diversi intestazioni HTTP (controlla se sei o meno iframed, strict-transport-security, ecc.), che vengono sempre più utilizzati dalle applicazioni web per ottenere una "seconda linea di difesa ", sarà inutile. (Per un elenco completo, consulta OWASP )
• Essenzialmente, sei sempre vittima di un MITB , quindi vulnerabile per tutti i tipi di attacchi che mirano a ciò che inserisci nella cache del browser, i cookie, le richieste, ecc. Ci sono troppe opzioni per l'attaccante da descrivere.

Più ci penso, più opzioni sono disponibili. Sono d'accordo con raz che è generalmente pericoloso utilizzare qualsiasi software non attendibile sul tuo sistema.

Non è opportuno installare software non attendibili, ma il browser è ovviamente la più sacra delle holys. E ho visto alcune applicazioni iniziare a implementare "native" utilizzando WebKit e WebSockets

Di per sé non è troppo terribile, sì tecnicamente l'applicazione potrebbe essere utilizzata per aprire Facebook anche perché sta usando WebKit, ma finché non tenta di farti fare così, non è troppo male.

Non utilizzerei mai un browser non affidabile per accedere a qualsiasi cosa, tranne nell'esempio dell'applicazione WebKit, che accede a quella particolare applicazione stessa. Ma se ha tentato di eseguire un reindirizzamento a Google o Facebook per OAuth / OpenID , NOPE, disinstallalo.

The more I read about TLS, the more I get convinced that the browser is the weakest link in the chain.

Non credo, perché penso che l'utente stesso sia il link più debole:

• Spesso l'utente può essere convinto di seguire collegamenti non sicuri, anche se il browser lo mette esplicitamente in guardia.
• L'utente può essere convinto di installare qualsiasi altro software, come plug-in dubbi, presunti scanner di virus che sono in realtà malware o anche browser diversi.
• L'utente si fida del produttore del browser o del sistema operativo, che tutti gli anni 100 di CA attendibile nel browser / sistema operativo possano essere completamente affidabili.

L'utente è il link più debole perché solo (s) alla fine decide chi fidarsi e quale software installare o quali siti visitare. Sfortunatamente queste sono in realtà decisioni davvero complesse e l'utente non è in grado di decidere da sé, quindi rimanda la decisione ai produttori di software nella speranza che sappiano qual è il meglio e che non imbrogliano.

How dangerous is it to use unknown browsers?

Non è più o meno pericoloso installare altro software, in cui l'utente non sa cosa fa realmente il software. L'utente si fiderà del software per fare la cosa giusta, ma il software potrebbe invece fare cose diverse.

Non importa molto se l'utente usa un browser mainstream, ma installa anche altri software che possono collegarsi al browser e annusare tutto, modificare i contenuti e rubare le credenziali.

Contrariamente ad alcune risposte qui, direi che potrebbe essere estremamente pericoloso. Se sei un bersaglio, mi piacerebbe sederti nel tuo browser e guardarti mentre riveli i tuoi account, password, pensieri, ecc. È quasi buono come occupare il tuo computer, perché il 90% delle tue comunicazioni con il mondo esterno sarebbe probabilmente passa attraverso il tuo browser (s). È ancora più facile attaccare il tuo browser se ti piace usare i componenti aggiuntivi di terze parti.

Ad esempio, se vuoi accedere a TOR, cosa faresti? Scarica il browser TOR?

• Se dirigo la sessione di download e ti mando un pacchetto browser modificato con keylogger / backdoor, lo sapresti?
• Come faresti a sapere se il pacchetto software non è mai stato compromesso?

L'esempio sopra è dal punto di vista della sicurezza nazionale / prevenzione della criminalità. Se voglio rubare i tuoi dati solo a scopo di lucro, il tuo browser è di nuovo un obiettivo di valore elevato che potrebbe essere più facile da attaccare rispetto ad altri nodi.