How is it still possible that the attacker can execute code in browser and make the user download an infected file without his knowledge?
In Google Chrome, i file vengono scaricati nella directory Download senza che all'utente venga richiesto, a condizione che l'estensione del file non sia presente in una determinata lista nera di tipi di file non sicuri conosciuti.
Per i tipi di file potenzialmente pericolosi, l'utente deve approvare il download e / o l'apertura del file. Ci sono stati tentativi di contrastare questo tramite click-jacking. I browser moderni come Chrome e Firefox hanno un ritardo integrato per impedirlo.
Alcuni utenti possono comunque essere ingannati.
What are the facts when calling a browser secure? all the browsers like mozilla chrome opera call itself secure but none of them are "bulletproof"
Il termine "a prova di proiettile" è molto vago.
Nei browser moderni, è stato fatto molto sforzo per correggere eventuali vulnerabilità che avrebbero consentito l'hacking diretto dalla sandbox integrata del browser. È importante tenere aggiornato il browser per sfruttare queste protezioni. Una volta fatto ciò, la differenza di sicurezza dei principali browser diventa piuttosto ridotta.
Anche senza "vulnerabilità" di per sé, la "sicurezza" dei vari browser potrebbe non essere uguale. Inoltre è altamente soggettivo. Esistono molte e complesse funzionalità per i casi che possono essere implementate da vari produttori di browser per proteggere la tua sicurezza.
-
Ad esempio, se un sito web richiede l'accesso al tuo microfono e video, sia Firefox che Chrome richiedono l'approvazione, ma Chrome richiede anche che il sito Web offra la crittografia HTTPS. Firefox non ha questo requisito. (ancora) Questo non è un problema di sicurezza in Firefox, nè un test anti-proiettile di Chrome, ma fa la differenza in certe situazioni, come l'utilizzo del WiFi pubblico.
-
Alcuni browser non supportano ancora i criteri di sicurezza del contenuto. Tuttavia, CSP è solo una funzionalità che aiuta gli sviluppatori a mitigare le proprie vulnerabilità.
Tutte queste sono differenze molto piccole nella sicurezza di un browser.
Ho un'opinione personale secondo cui IE è uno dei browser meno sicuri.
Anche in questo caso, mantieni sempre aggiornato il tuo browser per sfruttare le nuove funzionalità di sicurezza introdotte.