È sicuro riutilizzare una scheda in un browser per diversi siti Web?

Naviga le tue risposte
5

Un mio amico ha recentemente affermato che non è sicuro riutilizzare la stessa scheda in un browser per diversi siti web. In altre parole, se l'utente:

  1. Visita un sito Web sensibile (ad esempio registri nel suo conto bancario),

  2. Va alla barra degli indirizzi mentre il sito Web sensibile è ancora aperto,

  3. Inserisce un URI di un sito Web diverso che sembra essere violato,

allora il suo conto in banca può essere compromesso. D'altra parte, se l'utente:

  1. Visita un sito Web sensibile (ad esempio registri nel suo conto bancario),

  2. Chiude la scheda,

  3. Apre una nuova scheda,

  4. Inserisce un URI di un sito Web diverso che sembra essere violato,

quindi è più sicuro che nel primo caso.

La persona che afferma questo non può spiegare concretamente perché il secondo approccio è più sicuro o mostra un esempio di tale attacco. Suppone che "abbia qualcosa a che fare con la gestione della memoria, nel secondo caso, la memoria viene cancellata in modo sicuro".

Senza conoscere l'interno dei browser, questo mi sembra ancora strano. Se ci fosse un rischio, mi sarei aspettato che fosse correlato alla cronologia del browser (il sito Web dell'hacker potrebbe trarre beneficio dall'accesso alla cronologia della mia visita al sito web bancario?) E non dalla gestione della memoria di per sé.

C'è un rischio reale? Devo chiudere le schede mentre si passa da un sito Web sensibile a un altro sito Web?

    
posta Arseni Mourzenko 10.08.2015 - 21:46
fonte

1 risposta

1

Non sono a conoscenza di alcun problema di sicurezza relativo al riutilizzo della stessa scheda per siti Web diversi, ovvero non credo sia meglio o peggio riutilizzare una scheda o chiudere e aprire una nuova scheda.

Tuttavia, oltre a riutilizzare una sola scheda, può essere un problema di sicurezza se si utilizza la stessa applicazione del browser o lo stesso profilo del browser o lo stesso sistema operativo per le attività sensibili e non sensibili. Se il sito Web sensibile utilizza cookie di sessione o meccanismi simili per mantenerti autorizzato e se questo sito sensibile è vulnerabile agli attacchi CSRF (molto comuni), un utente malintenzionato potrebbe utilizzare impropriamente la tua identità da un'altra scheda o finestra all'interno dello stesso browser o anche da un altro browser sullo stesso sistema. Con i cookie di sessione semplici deve essere la stessa istanza del browser, ma se viene utilizzata la memoria persistente da flash o silverlight per identificare l'utente, questo token di identità potrebbe essere condiviso su più profili browser o anche tra diversi browser sullo stesso sistema (vedere link per maggiori dettagli).

Quindi per cose sensibili come l'online banking è meglio prendere almeno un profilo browser diverso che viene utilizzato solo a questo scopo. Oppure potresti addirittura dedicare un computer diverso (o una macchina virtuale) per questo scopo.

    
risposta data 10.08.2015 - 22:31
fonte

Leggi altre domande sui tag

Esistono prodotti / tecniche per lo sniffing DSL a basso sforzo? Salvataggio di token di autenticazione su siti Web di terze parti