Uno scenario particolare che mi interessa: se apro una finestra del browser Chrome con l'opzione --disable-web-security
, SOP è disabilitato. Questa finestra sarà in grado di accedere ai dati sui siti web aperti in un'altra finestra?
L'opzione --disable-web-security
si applica all'intera applicazione di Chrome, non a una finestra particolare.
Se attivi questa opzione quando avvii Chrome, qualsiasi sito che visiti può accedere ai dati dai siti che hai visitato in precedenza.
Ad esempio, se guardavo il mio account Online Banking e poi chiudevo la scheda e navigavo verso un sito malevolo, quel sito dannoso avrebbe quindi la possibilità di accedere al mio account Online Banking, trasferire fondi, ecc. Si noti che questo il rischio sopravvive anche dopo che la scheda è stata chiusa e continua fino a quando l'accesso al conto Online Banking è ancora attivo.
Inoltre, può sopravvivere a riavvii. Quindi se
--disable-web-security
È probabile che tu abbia ancora effettuato l'accesso a Gmail, perché spesso non ti disconnetterà come farebbe un sito di Online Banking. In tal caso, il sito dannoso può accedere al tuo account Google e controllare tutti i servizi, purché tu non abbia ancora effettuato l'accesso.
Will this window be able to access data on websites opened in other window??
--disable-web-security
si applica all'intero browser, non a una sola finestra. Quindi, se devi utilizzare --disable-web-security
, dovresti prima cancellare i dati personali, in particolare i cookie & Password salvate. Quindi eseguire i test e quindi utilizzare la funzione Uscita corretta alla prima occasione per tornare in un ambiente di navigazione sicuro. Assicurati che il tuo browser sia completamente uscito (nemmeno un'icona nella barra delle applicazioni) prima di pensare di essere di nuovo in una sessione di navigazione sicura.
Per rispondere direttamente alla tua domanda: no, ma continua a leggere.
La domanda non è chiara in quanto richiede "dati sui siti Web aperti".
Se per dati, intendi " può una scheda vedere il contenuto di un'altra scheda ", quindi no. L'attacco verrebbe da JavaScript, una lingua il cui modello di sicurezza è basato sul riferimento. Anche se le regole sui meccanismi esistenti vengono ignorate a causa di un flag, non c'è ancora modo di "strappare informazioni" direttamente da altre schede / finestre, perché non c'è "comando" per il contenuto del web per ottenere un elenco di tutte le schede, o anche un handle per una scheda specifica.
Se d'altra parte, intendevi " una scheda può recuperare i dati da un server che il server ha associato ad un'altra scheda? ", allora la risposta è possibilmente . Non è semplice, tuttavia, poiché la maggior parte dei provider di servizi non richiede l'assunzione di SOP come parte del loro modello di sicurezza, il che sarebbe sconsiderato poiché python, curl, php ecc. Ignorano tutti i criteri. Che cosa è possibile?
nessuno dei precedenti è buono, ma con il termine non esatto di "dati sui siti web" non so se tutti si applicano ...
Il vincolo dell'origine è tra lo script attivo (lo script in quella specifica scheda del browser) e lo script che viene chiamato.
Non importa come apri le altre schede, non fanno parte dello scambio e non hanno alcun impatto su di esso, tranne che per le possibili sessioni aperte. Le sessioni attive non influenzeranno lo stesso vincolo di origine.
Leggi altre domande sui tag web-browser chrome same-origin-policy