Защищены ли несфокусированные вкладки браузера от атак вредоносного ПО?

Ответ на вопрос 1: JavaScript на несфокусированных вкладках обычно все еще может работать, как вы можете видеть на веб-сайтах, которые поднимаются по прошествии некоторого времени. Таким образом, по умолчанию они не полностью неактивны.

Как уже упоминалось, несфокусированные вкладки все еще потенциально работают.

Не исключено, что сайты AJAX, такие как StackExchange, будут скомпрометированы и будут рассылать вредоносные программы вместо восхитительных уведомлений.

Я бы не сказал, что это большая угроза, о которой следует беспокоиться в данный момент. Вредоносное ПО обычно доставляется сразу после загрузки страницы. Это то, что я хотел бы как автор вредоносного ПО, контролировать веб-сайт или стороннюю рекламу. Тогда я бы тоже не стал взламывать код уведомления.

Это не тот случай, о котором эксперты публично беспокоятся (извините за это, но это не похоже на то, что вы считаете себя одним из них).

Я полагаю, что опасностью, на которую стоит обратить внимание, будет какая-то странная ошибка XSS в уведомлениях о комментариях AJAX на сайтах, на которых запущено устаревшее программное обеспечение для блогов, но со страницами, достаточно популярными, чтобы их стоило атаковать ... Я думаю, что это все еще очень надуманная ситуация из-за деталей последней части. Злоумышленник прогнозирует, что у людей все еще была открыта эта вкладка, , а потенциальная жертва уже перешла с этой вкладки перед атакой (и не собирается снова переключаться на нее!).

Если вы посмотрите, легко найти некоторые расширения Firefox, которые делали это. Однако все они описаны как экспериментальные и древние.

Я бы сфокусировался на том, чтобы в вашем браузере была последняя версия и у вас нет сторонних плагинов (то есть java и flash без включенного воспроизведения по щелчку). А если вас беспокоит, что у вас недостаточно защиты, у вас должен быть без исключения блокировщик рекламы (uBlock Origin). Вам также может понравиться HTTPS Everywhere.