Come si applica la stessa politica di origine a due finestre differenti di un browser?

3

Uno scenario particolare che mi interessa: se apro una finestra del browser Chrome con l'opzione --disable-web-security , SOP è disabilitato. Questa finestra sarà in grado di accedere ai dati sui siti web aperti in un'altra finestra?

    
posta entropy 22.07.2016 - 21:00
fonte

3 risposte

2

L'opzione --disable-web-security si applica all'intera applicazione di Chrome, non a una finestra particolare.

Se attivi questa opzione quando avvii Chrome, qualsiasi sito che visiti può accedere ai dati dai siti che hai visitato in precedenza.

Ad esempio, se guardavo il mio account Online Banking e poi chiudevo la scheda e navigavo verso un sito malevolo, quel sito dannoso avrebbe quindi la possibilità di accedere al mio account Online Banking, trasferire fondi, ecc. Si noti che questo il rischio sopravvive anche dopo che la scheda è stata chiusa e continua fino a quando l'accesso al conto Online Banking è ancora attivo.

Inoltre, può sopravvivere a riavvii. Quindi se

  1. Accedo a Gmail.
  2. Riavvio del browser, ora abilitando --disable-web-security
  3. Visito un sito dannoso.

È probabile che tu abbia ancora effettuato l'accesso a Gmail, perché spesso non ti disconnetterà come farebbe un sito di Online Banking. In tal caso, il sito dannoso può accedere al tuo account Google e controllare tutti i servizi, purché tu non abbia ancora effettuato l'accesso.

Will this window be able to access data on websites opened in other window??

  1. --disable-web-security si applica all'intero browser, non a una sola finestra.
  2. L''altra finestra' non deve essere aperta a per 'questa finestra' per accedere ai dati da quel sito.

Quindi, se devi utilizzare --disable-web-security , dovresti prima cancellare i dati personali, in particolare i cookie & Password salvate. Quindi eseguire i test e quindi utilizzare la funzione Uscita corretta alla prima occasione per tornare in un ambiente di navigazione sicuro. Assicurati che il tuo browser sia completamente uscito (nemmeno un'icona nella barra delle applicazioni) prima di pensare di essere di nuovo in una sessione di navigazione sicura.

    
risposta data 22.07.2016 - 21:15
fonte
2

Per rispondere direttamente alla tua domanda: no, ma continua a leggere.

La domanda non è chiara in quanto richiede "dati sui siti Web aperti".

Se per dati, intendi " può una scheda vedere il contenuto di un'altra scheda ", quindi no. L'attacco verrebbe da JavaScript, una lingua il cui modello di sicurezza è basato sul riferimento. Anche se le regole sui meccanismi esistenti vengono ignorate a causa di un flag, non c'è ancora modo di "strappare informazioni" direttamente da altre schede / finestre, perché non c'è "comando" per il contenuto del web per ottenere un elenco di tutte le schede, o anche un handle per una scheda specifica.

Se d'altra parte, intendevi " una scheda può recuperare i dati da un server che il server ha associato ad un'altra scheda? ", allora la risposta è possibilmente . Non è semplice, tuttavia, poiché la maggior parte dei provider di servizi non richiede l'assunzione di SOP come parte del loro modello di sicurezza, il che sarebbe sconsiderato poiché python, curl, php ecc. Ignorano tutti i criteri. Che cosa è possibile?

  1. indovinare e controllare i token e i cookie visitati del sito conosciuto, come gmail / SO / etc, utilizzando una cornice nascosta - "sniffing"
  2. dirottamento di sessione in un attacco mirato - "possedere" (vedere la risposta di George Bailey)
  3. tenendo traccia del $ #% * di te guardando i cookie / localStorage / perms - "spying"

nessuno dei precedenti è buono, ma con il termine non esatto di "dati sui siti web" non so se tutti si applicano ...

    
risposta data 22.07.2016 - 23:46
fonte
0

Il vincolo dell'origine è tra lo script attivo (lo script in quella specifica scheda del browser) e lo script che viene chiamato.

Non importa come apri le altre schede, non fanno parte dello scambio e non hanno alcun impatto su di esso, tranne che per le possibili sessioni aperte. Le sessioni attive non influenzeranno lo stesso vincolo di origine.

    
risposta data 22.07.2016 - 21:15
fonte

Leggi altre domande sui tag