Para los usuarios que usan navegadores modernos, ¿es seguro asumir que no podrán ser secuestrados a través de CSRF y similares? Si no es así, ¿qué tan probable es que se produzca un ataque?
No, no hay protección ofrecida contra CSRF por ningún navegador de forma predeterminada. Esto se debe a que el navegador no conoce la diferencia entre una solicitud legítima entre sitios y un ataque.
Qué tan probable - esto depende si
Usted puede protegerse si solo inicia sesión en un sitio a la vez, y borra las cookies entre cada una (puede ser mejor reiniciar su navegador para asegurarse de que las cookies de sesión también se borran, aunque Chrome también puede ejecutarse en segundo plano, por lo que debería asegurarse de que esté completamente cerrado y, además, Chrome puede reanudar las sesiones entre reinicios, así que haga experimentos para asegurarse de que la configuración sea correcta para evitar esto).
También debe asegurarse de que se borren otros objetos, como el almacenamiento local HTML5 y el almacenamiento Flash y Silverlight. Podría ser más fácil abrir una nueva ventana de navegación privada o de incógnito para cada sitio que visite, asegurándose de cerrar todas las pestañas y ventanas antes de visitar el siguiente sitio.
Ambos enfoques asegurarán que cualquier ataque CSRF intentado mientras navega por la web fallará porque no se autenticará en el sitio de destino. El único posible ataque CSRF del que debe preocuparse es si utiliza algún sitio que use su dirección IP como el único medio de autenticación, o si ha configurado su navegador para proporcionar automáticamente un certificado del lado del cliente. Sin embargo, el modo de incógnito debería protegerte de este último.
Lea otras preguntas en las etiquetas csrf