Это может быть параноиком, но если я захожу на вредоносный веб-сайт, могут ли они сказать, что находится внутри PDF на моем рабочем столе или что находится внутри моих изображений на моем жестком диске?
У меня есть Chromebook и машина с Windows.
5 ответов
56
По замыслу браузеры не допускают этого, но всегда есть вероятность ошибки, которую можно использовать для получения более высокого уровня доступа к вашей системе. Эти ошибки довольно редки и всегда очень быстро исправляются, так что это в основном проблема, если ваша ОС или браузер устарели. Оба из этих автообновлений теперь, так что просто не отключайте автообновления, и вы можете быть уверены в довольно хорошем уровне защиты от вредоносных веб-сайтов.
43
Удаленный компьютер не может получить доступ к чему-либо на вашем компьютере без помощи программного обеспечения на вашем компьютере.
Если вы используете свой компьютер для посещения ненадежного веб-сайта, вы используете программное обеспечение браузера на своем компьютере для инициирования веб-запросов (протокол HTTP или HTTPS) для получения данных с удаленного компьютера. В этой простой модели удаленный компьютер не имеет абсолютно никакого доступа к вашему компьютеру, но... браузеры имеют некоторые функции, которые усложняют эту картину.
Современные браузеры имеют функцию, которая позволяет загружать файлы с вашего компьютера. Веб-сайт может включать форму, которая использует эту функцию. Эта функция не дает веб-сайту представление о вашем компьютере. Когда ваш браузер обрабатывает такую форму, он предоставляет вам элемент управления выбором файла; Ваш браузер может видеть файлы на вашем компьютере, и когда вы делаете выбор, ваш браузер отправляет содержимое этого файла и только этот файл в удаленную систему. То, как работает эта функция, заставляет некоторых людей верить, что веб-сайт может видеть файлы на вашем компьютере, хотя на самом деле это не так.
Все современные браузеры имеют встроенные движки JavaScript. Веб-сайт может содержать код JavaScript, который должен выполняться вашим браузером. Когда браузер получает JavaScript на странице, он обычно выполняет его автоматически. JavaScript обычно используется для улучшения взаимодействия с пользователем; у него есть определенные возможности и некоторые ограничения. Движок JavaScript не может "видеть" в вашем компьютере - не может видеть ваши файлы или то, что происходит в других программах, но он может направлять браузер загружать другие файлы с того же сайта - изображения, страницы и т.д. , JavaScript может заставить браузер по крайней мере пытаться загрузить и запустить программу, которая может иметь больший доступ к вашей системе или контроль над ней. Хотя сам JavaScript ограничен в том, что он может делать на вашем компьютере, злоумышленник, тем не менее, может использовать JavaScript, чтобы заставить ничего не подозревающего пользователя загрузить более функциональную и вредоносную программу.
TL; DR: ненадежный веб-сайт не может сам по себе заглянуть в ваш компьютер. Но сайт может попытаться обмануть вас в загрузке и запуске вредоносного программного обеспечения. Такое программное обеспечение может потенциально сделать что-нибудь на вашем компьютере. Ваш браузер не должен автоматически загружать такое программное обеспечение; по крайней мере, это должно потребовать вашего явного согласия. Вредоносный веб-сайт может, однако, попытаться обмануть вас, чтобы дать такое согласие.
33
Если вы явно не предоставите веб-сайту, который является безопасным (HTTPS) или небезопасным (HTTP), доступ к элементу в вашей системе, этот веб-сайт не будет иметь доступа к этому элементу в вашей системе.
Это может быть параноиком, но если я захожу на веб-сайт, который не может быть на 100% безопасным, могут ли они сказать, что находится в PDF на рабочем столе моего жесткого диска или что находится внутри моих изображений на моем жестком диске?
В общем, если вы явно не предоставите им доступ к вашему жесткому диску или документам на жестком диске, то нет, небезопасный веб-сайт не сможет получить доступ к чему-либо.
Это сказало (и подчеркивает это, чтобы прояснить это) , действительно есть некоторые невероятно редкие - и эзотерические - "нулевые дни" подвиги, которые могут представлять интерес в некоторых крайних случаях. Но в целом вы, как конечный пользователь, должны приложить все усилия, чтобы позволить веб-сайту получить доступ к документам в вашей системе. Пока ваша ОС исправлена и браузеры обновлены, вы в безопасности. И даже в тех случаях, когда вы не исправлены и не обновлены (и еще раз подчеркиваете это, чтобы прояснить ситуацию), риск по-прежнему невероятно низок.
Единственная проблема с веб-сайтом, который «может быть не на 100% защищен» (как было указано в первоначальном вопросе, и я предполагаю, что HTTPS по сравнению с обычным HTTP) заключается в том, что при передаче данных туда и обратно HTTPS шифруется, а HTTP не шифруется.
Тогда риск заключается в том, что если вы вводите что-то на сайт через форму и т.д., Если сайт представляет собой простой HTTP, то передаваемые вами данные представляют собой просто текст, который любой, у кого есть анализатор пакетов, может прочитать. Но в лучшем случае это небольшой шанс.
Например, если вы находитесь в известной общедоступной сети Wi-Fi, возможно, кто-то находится в этой сети с вами и, возможно, захватывает пакеты и, таким образом, может обнаружить, что вы печатаете.
В целом, если вы находитесь в защищенной сети дома или в другом месте, а ваш браузер и операционная система исправлены, вы «в безопасности».
«Небезопасный» веб-сайт на самом деле является проблемой, только если вы отправляете ему данные или загружаете с указанного веб-сайта элемент, который будет запускать код в вашей системе.
12
В теории нет, на практике: да, это, безусловно, возможно.
Это причина, по которой опытные пользователи имеют расширения браузера, которые постоянно отключают скрипты, за исключением явно включенных в белый список веб-сайтов, которые требуют их и которые мешают многим другим атакам, таким как подделка межсайтовых запросов и еще много чего.
Эксплойты, которые разрешают удаленное выполнение кода или доступ к локальным файлам, публикуются почти каждый месяц. Два недавних примера одного известного браузера - 1 и 2. Примеры для другого известного браузера:3 и 4.
(Выше приведены случайные уязвимости, которые я выбрал без очевидной причины, и, между прочим, они все исправлены с использованием новейших версий, насколько мне известно.)
Атаки с помощью браузера могут не только позволить веб-сайту получить доступ к файлам, но и в принципе могут позволить веб-сайту полностью захватить ваш компьютер, в худшем случае. Проблема не ограничивается браузерами, посмотрите недавний пример уязвимости в видеозвонке WhatsApp. Около года назад была обнаружена уязвимость в широко распространенной серии маршрутизаторов DSL, которая позволила бы вредоносному веб-сайту захватить ваш маршрутизатор даже при наличии пароля, если только вы посещали веб-сайт со своего компьютера.
Уровень глупости, необходимый для успеха атаки, варьируется. Для некоторых атак конечный пользователь должен быть очень, очень глупым. Для некоторых атак пользователь должен быть не в курсе лишь доли секунды. И некоторые атаки будут работать, даже если пользователь не сделает ничего глупого, если будут соблюдены определенные условия.
3
Как правило, веб-сайт не может получить доступ к файлам на вашем жестком диске или их метаинформации. Тем не менее, вы должны знать пару вещей:
- в вашем браузере могут быть недостатки безопасности, которые позволяют злоумышленникам захватить ваш браузер или даже вашу систему
- В зависимости от вашего браузера, вредоносные сайты могут многое узнать о вас и компьютере, который вы используете.Для небольшого обзора посмотрите здесь: http://webkay.robinlinus.com/
- лучший способ сохранить ваши файлы в безопасности, это держать их подальше от Интернета. Храните свои файлы на внешнем диске и обращайтесь к ним только через автономные компьютеры. Это может быть неудобно, но безопасно