[elektro] Firefox privát ablak

Mon Nov 11 07:31:04 CET 2013

2013.11.10. 22:56 keltezéssel, potyo írta:
> Jó, akkor itt félreértettelek. Azt hittem, arra gondolsz, hogy a privát
> ablaknak nem kellene elküldenie a cookie-kat két oldalbetöltés között

Nem, hanem hogy ne ossza meg a cookie területet a privát és a main 
ablakok között.

>> A böngésző tudhatja, melyik cookie terület melyik ablakhoz tartozik, ami
>> a privát ablakban jött létre, azt oda küldi vissza, ami a másikban, azt
>> meg oda. Egyáltalán nem lenne kötelező közös cookie területet használni,
>> sőt nem is értem mi előnye lenne a közös területnek.
>
> Hát nemtudom, most próbáltam ki, hogy a normál ablakban beléptem gmailre és
> forum.hwsw.hu-ra is, majd nyitottam privát ablakot, ott megnyitottam az
> említett két oldalt, és egyikbe sem voltam belépve, vagyis nem osztotta meg
> a cookie-t a normál és a privát ablak között. Legutóbbi Firefox alatt
> próbáltam, frissen raktam fel egy virtuális gépen futó XP-re.

Nálam nem a legfrissebb, nem túl régi, de majd mindjárt kipróbálom a 
legújabbat...

> A privát ablakok futnak külön sessionban a normál ablakokhoz képest. De két
> privát ablak közös sessionban fut. Mint írtam a privát ablak lényege nem
> az, hogy a net felé anoním maradj, hanem hogy amit a privát ablakban
> csinálsz, annak ne maradjon nyoma a gépen.

Ezt értem, csak nem értem, hogy miért jó ha a másik ablaknak is 
visszaküldi. Mert ha lehet több privát ablakot nyitni, akkor ha az 
egyiket bezárom, annak a cookie-jai törlődnek, legalábbis kellene. Tehát 
eleve nyilvántartja, melyikhez tartozik, innentől nem volna nehéz csak 
oda visszaküldeni.

>> Most ezután akkor ha valamihez ideiglenesen fokozott biztonság kell,
>> akkor zárjak be mindig mindent, vagy nyissak két böngésző processzt,
>> vagy egy másik fajta böngészőt...
>
> Ezt nem egészen értem. Elsőként az "ezután" dolgot, hiszen amíg nem volt
> privát ablak, addig is ezek szerint ki kellett, nem?

Persze, csak ha már van, akkor használná az ember...

> A másik, hogy miért
> lesz attól biztonságosabb, hogy bezársz mindent?

Úgy értem, bezárod a nyitott oldalakat, és törlöd a cookie-kat.

> jó, hogy leülsz egy ismeretlen géphez, ott nyitsz egy privát ablakot,
> csinálod, amit akarsz, majd amikor felkelsz onnan, akkor egyszerűen
> bezárod, és sem cookie, sem gyorsítótár, semmi sem marad mentve az adott
> gépen.

Elhiszem, csak ez így még nem elég biztonságos. Ha pl. egy imseretlen de 
használatban lévő gépen meg van nyitva ez-az, téged odaengednek, nyitnak 
egy privát ablakot, és bár kilépéskor ugyan eltakarítja a nyomokat, de 
amíg használod, addig megosztja a dolgokat. Így oda-vissza 
kompormitálható a másik ablakokban futó bejelentkezett szoláltatás, ami 
lehet netbank, céges belső weboldal, miegymás, ami lehet elég szenzitív 
és elég fontos ahhoz, hogy célpont legyen.

Vegyük észre, hogy még az sem biztos hogy a két fél bármelyikének álljon 
szándékában, hanem egy harmadik fél valamelyiket kihasználva indíthat 
akciót.

Ez azért elég misztikusnak tűnhet, de elég hétköznapi eset is van, pl. a 
saját gépeden egy privát ablakban akarnál netbankolni, miközben a 
főablakban meg van nyitva 30 fül egyéb akármi. Ezek szerint igen rossz 
ötlet. A CSRF-hez nem kell más, csak némi JS kód, meg CSRF érzékeny 
weboldal.

Ez ellen egy hatékony lépés lenne, ha a privát ablak egy full izolált 
session lenne. Tudom, ezt nem itt, hanem a megfelelő böngészők devel 
fórumán kellene felvetnem/megvitatnom, csak meglepett, annyira 
kézenfekvőnek tűnt, azt hittem ez eleve így műkdöik...