До тех пор, пока пользователь вошел в систему, сеанс активен. Кросс-браузер или нет, это представляется активной сессии, приводятся подробности сессии.
Как вы утверждаете, он убедился, что был во время сеанса, и это действительно проверить, что активный сеанс является один делает POST. Что это не проверить, является ли это кросс скрипт сайта с помощью этой сессии, который был оставлен открытым пользователем, а trojen, который работает в фоновом режиме со скрытым браузером используется страницы загрузки, получают соответствующие маркеры безопасности на страницы, и делать запросы , и т.д.

После того, как настольный компьютер взломан существуют ограничения на то, что может быть сделано. Это не трудно использовать фоновый троян для перехвата ключей 2-фактора либо время от времени установки. Это может повлиять любой сайт.
Я видел много "бот" трояны для игр и т.д., которые делают вид, чтобы быть конечным пользователем и будет использовать активное внесено в журнал сессий для просмотра, загрузки страниц, даже играть в игры для них.

Даже банки (я использую Citibank) теперь даже требуют, как только вошли в систему, чтобы представить дополнительные ответы на вопрос безопасности, чтобы быть в состоянии сделать большинство вещей, по этой причине.
Я работаю, чтобы добавить новый уровень безопасности, в то время как это может быть немного спорным, будет полностью необязательным, но дать один из самых надежных методов защиты.

Имейте в виду, генерируя код на странице может остановить атаку кросс-браузер, эффективно становясь на странице 2-фактор, но это не остановит инфекции от генерации, и использовать его.

При этом сказал, вы также увидите генерации ключей на страницы в течение нескольких дней, что все подчиняется будут обязаны придерживаться. Тройная проверка функциональности на все посты и убедившись, что никакие другие проблемы не будут созданы, и это работает точно так же, как предполагалось в настоящее время является основным направлением прямо сейчас.

На стороне записки, я могу сказать, что многие пользователи (менее 25 пользователей), которые пострадали с переводами, были одно время нет-плохого пароля логинов из разных изобр, которые делали переводы. Мы уже видели, большую / электронную почту / пасс список попытки как на bitfunder и weexchange из ботнета, который мы помещаем некоторые защиты на месте с. В конце концов, все, что мы можем сделать, это попытаться распознать и запрет / блокировать этот IP-адрес, а также замедлить их и сообщить какие-либо признанные счета, что они находятся в опасности. Мы видели тысячи попыток входа в систему, которые в основном не работают, для учетных записей, которые никогда не существовали на каком-либо сайте.

-Уке