¿Es seguro reutilizar una pestaña en un navegador para diferentes sitios web?

5

Un amigo mío recientemente afirmó que no es seguro reutilizar la misma pestaña en un navegador para diferentes sitios web. En otras palabras, si el usuario:

  1. Visita un sitio web confidencial (por ejemplo, inicia sesión en su cuenta bancaria),

  2. Va a la barra de direcciones mientras el sitio web confidencial aún está abierto,

  3. Introduce un URI de un sitio web diferente que parece estar pirateado,

entonces su cuenta bancaria puede ser comprometida. Por otro lado, si el usuario:

  1. Visita un sitio web confidencial (por ejemplo, inicia sesión en su cuenta bancaria),

  2. Cierra la pestaña,

  3. Abre una nueva pestaña,

  4. Introduce un URI de un sitio web diferente que parece estar pirateado,

entonces él es más seguro que en el primer caso.

La persona que afirma esto no podría explicar concretamente por qué el segundo enfoque es más seguro o mostrar un ejemplo de tal ataque. Supone que "tiene algo que ver con la gestión de la memoria, en el segundo caso, la memoria se borra de forma segura".

Sin conocer los aspectos internos de los navegadores, esto todavía me parece extraño. Si hubiera un riesgo, esperaría que estuviera relacionado con el historial del navegador (¿podría el sitio web del pirata informático beneficiarse al acceder al historial de mi visita al sitio web bancario?) Y no a la administración de memoria en sí.

¿Existe un riesgo real? ¿Debo cerrar las pestañas al pasar de un sitio web sensible a otro sitio web?

    
pregunta Arseni Mourzenko 10.08.2015 - 21:46
fuente

1 respuesta

1

No tengo conocimiento de ningún problema de seguridad al reutilizar la misma pestaña para diferentes sitios web, es decir, no creo que sea mejor o peor reutilizar una pestaña en lugar de cerrar y abrir una nueva pestaña.

Pero aparte de reutilizar solo una pestaña, puede ser un problema de seguridad si usa la misma aplicación de navegador o el mismo perfil de navegador o incluso el mismo sistema operativo para tareas sensibles y no confidenciales. Si el sitio web sensible utiliza cookies de sesión o mecanismos similares para mantenerlo autorizado y si este sitio sensible es vulnerable a los ataques CSRF (muy comunes), un atacante podría utilizar incorrectamente su identidad desde otra pestaña o ventana dentro del mismo navegador o incluso desde un sitio diferente. navegador en el mismo sistema. Con las cookies de sesión simples, debe ser la misma instancia del navegador, pero si se usa el almacenamiento persistente desde flash o silverlight para identificar al usuario, este token de identidad podría compartirse en múltiples perfiles del navegador o incluso entre diferentes navegadores en el mismo sistema (consulte enlace para más detalles).

Por lo tanto, para cosas delicadas como la banca en línea, es mejor tomar al menos un perfil de navegador diferente que solo se use para este propósito. O incluso podría dedicar una computadora diferente (o máquina virtual) para este propósito.

    
respondido por el Steffen Ullrich 10.08.2015 - 22:31
fuente

Lea otras preguntas en las etiquetas