[elektro] Firefox privát ablak

[potyo]

2013. november 10. 20:51 Móczik Gábor írta, <pm_levlista at progzmaster.hu>:

> 2013.11.09. 8:43 keltezéssel, potyo írta:
> > És ezt te hol olvastad, hogy ennek így kellene lennie? A session cookie-t
> > muszáj elküldenie illetve fogadni, különben az ablakban két kattintás
> > között is ki lennél léptetve...
>
> Már miért lennék?
>

Jó, akkor itt félreértettelek. Azt hittem, arra gondolsz, hogy a privát
ablaknak nem kellene elküldenie a cookie-kat két oldalbetöltés között


>
> A böngésző tudhatja, melyik cookie terület melyik ablakhoz tartozik, ami
> a privát ablakban jött létre, azt oda küldi vissza, ami a másikban, azt
> meg oda. Egyáltalán nem lenne kötelező közös cookie területet használni,
> sőt nem is értem mi előnye lenne a közös területnek.
>

Hát nemtudom, most próbáltam ki, hogy a normál ablakban beléptem gmailre és
forum.hwsw.hu-ra is, majd nyitottam privát ablakot, ott megnyitottam az
említett két oldalt, és egyikbe sem voltam belépve, vagyis nem osztotta meg
a cookie-t a normál és a privát ablak között. Legutóbbi Firefox alatt
próbáltam, frissen raktam fel egy virtuális gépen futó XP-re.


> Csak hogy példát mondjak, pl. a CSRF ellen ez így semmit nem ér, abban a
> tévhitben voltam eddig, hogy minden privát ablak egy töküres sessiont
> indít, és ez full biztonságos.
>

A privát ablakok futnak külön sessionban a normál ablakokhoz képest. De két
privát ablak közös sessionban fut. Mint írtam a privát ablak lényege nem
az, hogy a net felé anoním maradj, hanem hogy amit a privát ablakban
csinálsz, annak ne maradjon nyoma a gépen.


>
> Most ezután akkor ha valamihez ideiglenesen fokozott biztonság kell,
> akkor zárjak be mindig mindent, vagy nyissak két böngésző processzt,
> vagy egy másik fajta böngészőt...
>

Ezt nem egészen értem. Elsőként az "ezután" dolgot, hiszen amíg nem volt
privát ablak, addig is ezek szerint ki kellett, nem? A másik, hogy miért
lesz attól biztonságosabb, hogy bezársz mindent?


>
> Most kipróbáltam egyébként:
> Ha chrome-ban a főablakban lépsz be, az nem látszik az inkognitó
> ablakban. Ugyanez fordítva sem. Az viszont itt sem jó, hogy ha nyitsz
> egy második inkognitó ablakot, abban látszik hogy az elsőben beléptél.
> Legújabb verzió van fenn.


Mert mint írtam, a privát ablak lényege, hogy a gépeden nem marad semmi
abból, amit csináltál. Ezt leszámítva teljesen ugyanúgy működik, mint a nem
privát ablakok, vagyis a privát ablakok sem függetlenek egymástól. Ez arra
jó, hogy leülsz egy ismeretlen géphez, ott nyitsz egy privát ablakot,
csinálod, amit akarsz, majd amikor felkelsz onnan, akkor egyszerűen
bezárod, és sem cookie, sem gyorsítótár, semmi sem marad mentve az adott
gépen.