d33tah
2015-12-28 20:36:45 UTC
我剛剛發現一家波蘭銀行的網站強迫用戶僅在一個瀏覽器標籤中打開它。例如,在尋找您要匯款的帳號時,您無法檢查轉賬歷史。除了可能的安全性原因,我無法想到這樣做的任何好的理由。將一個站點限制為一個站點是否有安全優勢?如果是這樣,他們是什麼?
如果您在新窗口(而不是標籤頁)中創建第二個會話,該怎麼辦?
我想沒關係,但是我沒有嘗試過。
他們如何執行?他們是否在每個點擊的鏈接中傳遞了新的ID?
@StackzOfZtuff:通常會有一個狀態ID(可以稱為頁面,屏幕,操作等)告訴您Web應用程序工作流程中的當前狀態(通常是單個URL,其中的內容由過量的Ajax腳本動態處理) 。如果您單擊一個選項或提交與當前狀態不符的表格,則該應用程序可能會產生假結果,顯示錯誤頁面或直接將您發送回首頁。
我大學的在線評分/註冊系統做同樣的事情,而且很煩人。我認為這樣做並不是出於任何安全原因,而是因為系統設計得很糟糕。 (除其他外,後退按鈕也不起作用。)
您無法提供銀行名稱的原因嗎?我有興趣進一步研究。
這讓我想起了一家公用事業公司,其網站禁止複制/粘貼。我想他們想要阻止人們將信息保存在桌面上的記事本文檔中,但是大多數情況下,這使我在嘗試使用密碼管理器時感到沮喪。
這是一個安全問題嗎?它在問一個相對主觀的問題(“是否合理”),問題文本中沒有提到安全性或任何相關主題。
由於該問題即將關閉,我改寫了該詞,以使其更加客觀和專注於安全性。我希望我這樣做的時候不會改變OP的初衷。
它通過將客戶吸引到其他網頁設計不受大腦損壞的銀行,極大地提高了安全性。
@NeilSmithline:謝謝,您正確閱讀了我的意圖。 :)
-1
尚未提及的原因之一可能是過分熱心的CSRF保護(實際上,您不需要為防止CSRF而為每個請求都需要一個新令牌,每次登錄或更改特權級別時都不需要一個新令牌)。但更有可能的是,這與最受支持的兩個答案所指出的技術棧有關。
@d33tah:您是否嘗試過通過兩個不同的瀏覽器同時打開兩個會話?它有效還是會使您的第一次會話無效?根據我的經驗,此方法行之有效,因為這是我在打開新標籤頁時所使用的實際解決方法,但是在後一種情況下,這可能表明您的銀行存在一些安全問題。
-1
更好的是-$ work的大腦損壞的錯誤跟踪系統,習慣是將多個標籤/窗口中的活動流混合在一起(如果有的話)。因此,如果打開錯誤1和錯誤2(以查看),然後單擊對錯誤1的編輯,則更改可能會在錯誤2中結束。或者,您可能會看到bug2的編輯窗口-但在有bug1的窗口中。