¿Es un riesgo de seguridad usar un navegador web desconocido?

Es muy peligroso.

• Tiene razón al señalar que el navegador decide si la conexión es segura ( HTTPS ). El navegador no solo inicia la conexión, sino que también elige la clave simétrica que se usará para la conexión segura (las claves asimétricas solo se usan para configurar la conexión). Hipotéticamente, un navegador podría usar una clave simétrica predefinida, y el usuario todavía pensaría que la sesión está encriptada de manera segura (incluso si él / ella inspeccionara el tráfico utilizando wireshark, por ejemplo). Además, el navegador podría elegir aceptar cualquier certificado como válido, lo que probablemente sea el truco más fácil de implementar.
• El navegador desconocido tampoco podría preocuparse por la política del mismo origen , lo que lleva a que las cookies de autenticación de un dominio se envíen a cualquier otro dominio. Hay más que eso en la política del mismo origen, consulte este sitio web para obtener más información.
• Varios Encabezados HTTP (controlan si está o no siendo iframed, estricto-transporte-seguridad, etc.), que las aplicaciones web utilizan cada vez más para obtener una "segunda línea de Defensa ', será inútil. (Para obtener una lista completa, consulte OWASP )
• Básicamente, siempre eres víctima de un MITB , por lo que eres vulnerable a todo tipo de ataques dirigidos a lo que pones en el caché de tu navegador, cookies, solicitudes, etc. Hay demasiadas opciones para el atacante para describir.

Cuanto más lo pienso, más opciones hay disponibles. Estoy de acuerdo con raz que generalmente es peligroso usar cualquier software que no sea de confianza en su sistema.

No es bueno instalar ningún software que no sea de confianza, pero el navegador es obviamente el lugar más sagrado. Y he visto un buen número de aplicaciones que comienzan a implementar 'nativas' al utilizar WebKit y local WebSockets .

Eso en sí mismo no es demasiado terrible, sí, técnicamente, la aplicación también podría usarse para abrir Facebook porque está usando WebKit, pero mientras no intente que lo hagas, no es demasiado. malo.

Nunca usaría un navegador que no sea de confianza para iniciar sesión en nada, excepto en el ejemplo de la aplicación WebKit, al iniciar sesión en esa aplicación en particular. Pero si intentara hacer una redirección a Google o Facebook para OAuth / OpenID , NOPE, desinstálelo.

  

Cuanto más leo sobre TLS, más convencido estoy de que el navegador es el eslabón más débil de la cadena.

No lo creo, porque creo que el usuario es el enlace más débil:

• El usuario a menudo puede ser convencido de seguir enlaces inseguros, incluso si el navegador advierte explícitamente de ello.
• Se puede convencer al usuario para que instale cualquier otro software, como complementos dudosos, supuestos analizadores de virus que son malware en realidad o incluso diferentes navegadores.
• El usuario confía en el productor del navegador o sistema operativo, en el que se puede confiar plenamente en cada una de las 100 CA de confianza en el navegador / sistema operativo.

El usuario es el enlace más débil porque solo él (s) finalmente decide en quién confiar y qué software instalar o qué sitios visitar. Desafortunadamente, en realidad estas son decisiones realmente complejas y el usuario no puede hacerlo por sí mismo, por lo que difiere la decisión a los productores de software con la esperanza de que sepan qué es lo mejor y que no hagan trampa.

  

¿Qué tan peligroso es usar navegadores desconocidos?

No es más o menos peligroso que instalar cualquier otro software, donde el usuario no sabe lo que realmente hace el software. El usuario confiará en el software para hacer lo correcto, pero el software podría hacer cosas diferentes en su lugar.

No importa mucho si el usuario usa un navegador convencional, pero también instala algún otro software que puede conectarse al navegador y rastrear todo, modificar contenidos y robar credenciales.

Al contrario de algunas respuestas aquí, yo diría que podría ser extremadamente peligroso. Si eres un objetivo, me encantaría sentarme en tu navegador y verte mientras revelas tus cuentas, contraseñas, pensamientos, etc. Es casi tan bueno como controlar tu computadora, porque el 90% de tus comunicaciones con el mundo externo Probablemente vaya a través de su navegador (s). Es incluso más fácil atacar su navegador si le gusta usar complementos de terceros.

Por ejemplo, si quieres acceder a TOR, ¿qué harías? Descargar el navegador TOR?

• Si secuestro su sesión de descarga y le envío un paquete de navegador modificado con keylogger / backdoor, ¿lo sabría?
• ¿Cómo sabría si el paquete de software nunca se vio comprometido?

El ejemplo anterior es desde la perspectiva de seguridad nacional / prevención del delito. Si quiero robar sus datos solo con fines de lucro, su navegador es nuevamente un objetivo de alto valor que podría ser más fácil de atacar que otros nodos.