Si todavía estoy conectado usando el navegador X, ¿puede funcionar un ataque CSRF cuando uso otro navegador Y (predeterminado) en la misma máquina? Supongamos que el servidor web tiene una vulnerabilidad CSRF y que no se realizará ninguna comprobación de token oculta en el servidor.
No. CSRF funciona utilizando una sesión ya establecida, y las sesiones solo pueden existir dentro del mismo navegador. O dicho de otra manera, todos los navegadores actuales / principales no comparten sesiones.
EDITAR: Como se señaló en el comentario, es teóricamente posible utilizar cookies flash. En mi opinión, las cookies flash son malas, para empezar, aunque.
Suponiendo que la vulnerabilidad CSRF existente se basa en la presencia de una cookie de inicio de sesión, la respuesta simple es no (en el caso general).
Los distintos navegadores (por ejemplo, IE / FF / GC / Safari) administran sus propias cookies, y el inicio de sesión en una no tendrá ningún efecto en las cookies de otro navegador.
Sin embargo, hay otros defectos de CSRF que no están basados en cookies, que pueden ser relevantes para otros navegadores.
Por ejemplo, la CSRF basada en la autenticación de Windows integrada sería relevante para IE, incluso si hubiera iniciado sesión en, digamos, FF. O cualquier otra gestión de autenticación / sesión no basada en cookies, incluidas las sesiones basadas en flash, etc.
Lea otras preguntas en las etiquetas web-application attacks cookies csrf