Como dijo Frederic, la Política del mismo origen del navegador detiene la mayoría de las solicitudes explotables de un sitio en un dominio a cualquier sitio en otro. (Más específicamente, las solicitudes se bloquean a menos que el protocolo, el nombre de host y el número de puerto del objetivo coincidan con los de la página solicitante). Eso evitará que un sitio desagradable cargue su Facebook y simplemente elimine el contenido.
Hay una clase de vulnerabilidad llamada falsificación de solicitudes entre sitios, donde un sitio malicioso puede enviar información a otro sitio en su nombre y tal vez hacer cosas malas como cambiar su contraseña, pero cualquier sitio que valga la pena debería protegerse contra ese tipo de explotación. Apostaría un buen dinero a que Facebook tiene esto resuelto. También es concebible que un sitio malicioso pueda engañarlo para que ingrese algo que comprometerá el sitio de destino y envíe sus datos a alguna parte, pero que se basa en problemas específicos con el código del objetivo que deben corregirse tan pronto como se descubran.
En general, la respuesta es un “no” cautelosamente calificado. Asumiendo que las cosas están configuradas correctamente y el sitio objetivo tiene sus patos en fila, como Facebook seguramente lo hace, un sitio sombreado no puede simplemente mirar por encima del hombro. Sin embargo, si las cosas correctas salen mal, toda esa protección se puede eludir.
- ¿Cuál es un proxy bueno y seguro para usar para ingresar a Facebook en la escuela?
- ¿Cuál es un método garantizado para saber si un archivo PDF está libre de malware o para verlo de manera segura con gran confianza?
- ¿Alguna vez ha sido hackeado el Pentágono?
- ¿Qué le sucede exactamente al sistema operativo después de un ataque de fragmentación superpuesto?
- ¿Puede una imagen de código QR o una captura de pantalla infectar un teléfono inteligente Android (consulte la pregunta completa para obtener más detalles)?