Google es un ejemplo famoso de no bloqueando CSRF en páginas de cierre de sesión / cierre de sesión.
Algunos reporteros de vulnerabilidades se ponen en contacto con nosotros sobre la posibilidad de cerrar sesión Usuarios de Google mediante la navegación de su navegador a una URL particular. En algunos formas, este comportamiento es indeseable, pero creemos que no puede ser Se aborda de manera confiable en la web moderna: por ejemplo, sitios web maliciosos También puede simplemente desbordar el tarro de cookies del navegador y soltar su Cookies de autenticación para otros sitios web en Internet.
A partir de hoy respuesta más popular a ¿La acción de inicio de sesión y de cierre de sesión tiene protección CSRF? no está de acuerdo, citando preocupaciones de phishing. La segunda respuesta más popular dice que no es necesario, pero el ataque podría causar inconvenientes. La tercera respuesta dice que la protección es una necesidad.
¿Por qué Google toma una postura contraria aquí? ¿Por qué Google mantiene esta postura y / o por qué tan pocas personas parecen estar de acuerdo?
Nota: numerosos lugares en línea hacen referencia al hecho de que Google ha discutido este "ad nauseum", pero no encontré las discusiones reales.
Editar : no es solo Google, pero muchos sitios importantes hacen esto.
Edit 2 : esta pregunta no es un duplicado de ¿El inicio de sesión y la acción de cierre de sesión tienen protección CSRF? porque no estoy preguntando si una página necesita tener protección CSRF de cierre de sesión o no. Estoy preguntando
- El razonamiento de Google para su postura es (ellos proporcionaron solo una parte de su razonamiento en el extracto citado) y
- ¿Por qué hay una división aparente entre Google y las respuestas a esa pregunta?
Esta pregunta trata principalmente de desentrañar el razonamiento de la decisión de seguridad de Google, un estudio de caso detallado en lugar de un tratamiento amplio.