Per gli utenti che utilizzano browser moderni, è sicuro assumere che non saranno in grado di essere dirottati tramite CSRF e simili? In caso contrario, quanto è probabile che un attacco possa aver luogo?
No, non esiste alcuna protezione offerta contro CSRF da alcun browser per impostazione predefinita. Questo perché il browser non conosce la differenza tra una richiesta cross-site legittima e un attacco.
Quanto è probabile - dipende se
Puoi poter proteggerti se accedi a un sito in una sola volta e cancelli i tuoi cookie tra tutti (potrebbe essere meglio riavviare il browser per assicurarti che i cookie di sessione vengano cancellati anche se Chrome può essere eseguito in background, quindi devi assicurarti che sia completamente chiuso e, inoltre, Chrome può riprendere le sessioni tra un riavvio e l'altro per verificare che le impostazioni siano corrette per impedirlo).
Inoltre, dovresti assicurarti che altri oggetti siano cancellati come l'archiviazione locale HTML5 e l'archiviazione Flash e Silverlight. Potrebbe essere più facile aprire una nuova finestra di navigazione in incognito o privata per ogni sito che visiti, assicurandoti di chiudere tutte le schede e le finestre prima di visitare il sito successivo.
Entrambi gli approcci garantiranno che tutti gli attacchi CSRF tentati durante la navigazione sul Web non vadano a buon fine perché non verranno autenticati sul sito di destinazione. L'unico possibile attacco CSRF di cui potresti doverti preoccupare è se utilizzi qualsiasi sito che utilizza il tuo indirizzo IP come unico mezzo di autenticazione o se hai impostato il browser per fornire automaticamente un certificato sul lato client. Tuttavia, la modalità di navigazione in incognito dovrebbe proteggerti da quest'ultimo.
Leggi altre domande sui tag csrf