我的一个朋友最近断言,在浏览器中为不同的网站重复使用相同的选项卡是不安全的。换句话说,如果用户:
访问敏感网站(例如登录他的银行账户),
在敏感网站仍然打开时转到地址栏,
输入似乎被黑客入侵的不同网站的 URI,
那么他的银行账户就会被盗用。另一方面,如果用户:
访问敏感网站(例如登录他的银行账户),
关闭选项卡,
打开一个新标签,
输入似乎被黑客入侵的不同网站的 URI,
那么他比第一种情况更安全。
断言这一点的人无法具体解释为什么第二种方法更安全,也无法展示此类攻击的示例。他猜测“这与内存管理有关,在第二种情况下,内存被安全清除”。
在不了解浏览器内部的情况下,这对我来说仍然很奇怪。如果存在风险,我希望它与浏览器的历史记录有关(黑客的网站是否可以从访问我访问银行网站的历史记录中受益?)而不是内存管理本身。
有实际风险吗?从敏感网站转到任何其他网站时,我应该关闭标签吗?
我不知道为不同的网站重复使用相同的选项卡的任何安全问题,即我认为重复使用选项卡与关闭并打开一个新选项卡并没有更好或更差。
但是,除了重复使用单个选项卡之外,如果您使用相同的浏览器应用程序或相同的浏览器配置文件甚至相同的操作系统来执行敏感和非敏感任务,这可能是一个安全问题。如果敏感网站使用会话 cookie 或类似机制来保持您的授权,并且如果该敏感网站容易受到(非常常见的)CSRF 攻击,那么攻击者可能会从同一浏览器中的另一个选项卡或窗口甚至从不同的浏览器滥用您的身份同一系统上的浏览器。对于简单的会话 cookie,它必须是同一个浏览器实例,但如果使用 flash 或 silverlight 的持久存储来识别用户,则此身份令牌可能会在多个浏览器配置文件中共享,甚至在同一系统上的不同浏览器之间共享(请参阅https://www.chromium.org/Home/chromium-security/client-identification-mechanisms了解更多详情)。
因此,对于像网上银行这样的敏感内容,您最好至少使用一个仅用于此目的的不同浏览器配置文件。或者,您甚至可以为此目的专用一台不同的计算机(或虚拟机)。