Это может быть параноиком, но если я зайду на вредоносный веб-сайт, могут ли они сказать, что находится внутри PDF на моем рабочем столе или что находится внутри моих изображений на моем жестком диске?
У меня есть Chromebook и машина с Windows.
Это может быть параноиком, но если я зайду на вредоносный веб-сайт, могут ли они сказать, что находится внутри PDF на моем рабочем столе или что находится внутри моих изображений на моем жестком диске?
У меня есть Chromebook и машина с Windows.
Ответы:
Это может быть параноиком, но если я захожу на веб-сайт, который не может быть на 100% безопасным, могут ли они сказать, что находится в PDF на рабочем столе моего жесткого диска или что находится внутри моих изображений на моем жестком диске?
В общем, если вы явно не предоставите им доступ к вашему жесткому диску или документам на жестком диске, то нет, небезопасный веб-сайт не сможет получить доступ к чему-либо.
Это сказало (и подчеркивает это, чтобы прояснить это) , действительно есть некоторые невероятно редкие - и эзотерические - "нулевые дни" подвиги, которые могут представлять интерес в некоторых крайних случаях . Но в целом вы, как конечный пользователь, должны приложить все усилия, чтобы позволить веб-сайту получить доступ к документам в вашей системе. Пока ваша ОС исправлена и браузеры обновлены, вы в безопасности. И даже в тех случаях, когда вы не исправлены и не обновлены (и еще раз подчеркнули это, чтобы прояснить ситуацию), риск все равно невероятно низок .
Единственная проблема с веб-сайтом, который «может быть не на 100% безопасен» (как было указано в первоначальном вопросе, и я предполагаю, что HTTPS по сравнению с обычным HTTP) заключается в том, что при передаче данных туда и обратно HTTPS шифруется, а HTTP не шифруется.
Тогда риск заключается в том, что если вы вводите что-то на сайт через форму и т. Д., Если сайт представляет собой обычный HTTP, то передаваемые вами данные - это просто текст, который любой, у кого есть анализатор пакетов, может прочитать. Но в лучшем случае это небольшой шанс.
Например, если вы находитесь в известной общедоступной сети Wi-Fi, возможно, кто-то находится в этой сети с вами и, возможно, захватывает пакеты и, таким образом, может обнаружить, что вы печатаете.
«Небезопасный» веб-сайт действительно представляет собой проблему, только если вы отправляете ему данные или загружаете с указанного веб-сайта элемент, который будет запускать код в вашей системе.
По замыслу браузеры не допускают этого, но всегда есть вероятность ошибки, которую можно использовать для получения более высокого уровня доступа к вашей системе. Эти ошибки довольно редки и всегда очень быстро исправляются, поэтому это, в основном, проблема, если ваша ОС или браузер устарели. Оба из этих автообновлений теперь, так что просто не отключайте автообновления, и вы можете быть уверены в довольно хорошем уровне защиты от вредоносных веб-сайтов.
Если вы используете свой компьютер для посещения ненадежного веб-сайта, вы используете программное обеспечение браузера на своем компьютере для инициирования веб-запросов (протокол HTTP или HTTPS) для получения данных с удаленного компьютера. В этой простой модели удаленный компьютер не имеет абсолютно никакого доступа к вашему компьютеру, но ... браузеры имеют некоторые функции, которые усложняют эту картину.
Современные браузеры имеют функцию, которая позволяет загружать файлы с вашего компьютера. Веб-сайт может включать в себя форму, которая использует эту функцию. Эта функция не дает веб-сайту представление о вашем компьютере. Когда ваш браузер обрабатывает такую форму, он предоставляет вам элемент управления выбором файла; ваш браузер может видеть файлы на вашем компьютере, и когда вы делаете выбор, ваш браузер отправляет содержимое этого файла и только этот файл в удаленную систему. То, как работает эта функция, заставляет некоторых людей верить, что веб-сайт может видеть файлы на вашем компьютере, когда это на самом деле невозможно.
Все современные браузеры имеют встроенные движки JavaScript. Веб-сайт может содержать код JavaScript, который должен выполняться вашим браузером. Когда браузер получает JavaScript на странице, он обычно запускает его автоматически. JavaScript обычно используется для улучшения взаимодействия с пользователем; у него есть определенные возможности и некоторые ограничения. Движок JavaScript не может «видеть» на вашем компьютере - не может видеть ваши файлы или то, что происходит в других программах, но он может направлять браузер загружать другие файлы с того же сайта - изображения, страницы и т. Д. JavaScript может заставить браузер по крайней мере пытаться загрузить и запустить программу, которая может иметь больший доступ к вашей системе или контроль над ней. Хотя сам JavaScript ограничен в том, что он может делать на вашем компьютере,
TL; DR: ненадежный веб-сайт не может сам по себе заглянуть в ваш компьютер. Но сайт может попытаться обмануть вас в загрузке и запуске вредоносного программного обеспечения. Такое программное обеспечение может потенциально сделать что-нибудь на вашем компьютере. Ваш браузер не должен автоматически загружать такое программное обеспечение; по крайней мере, это должно потребовать вашего явного согласия. Вредоносный веб-сайт может, однако, попытаться обмануть вас, чтобы дать такое согласие.
Это причина, по которой опытные пользователи имеют расширения браузера, которые постоянно отключают скрипты, за исключением явно включенных в белый список веб-сайтов, которые требуют их, и которые мешают многим другим атакам, таким как подделка межсайтовых запросов и еще много чего.
Эксплойты, которые позволяют удаленное выполнение кода или доступ к локальным файлам, публикуются почти каждый месяц. Два недавних примера одного известного браузера - 1 и 2 . Примерами другого известного браузера являются 3 и 4 .
(Выше приведены случайные уязвимости, которые я выбрал без очевидной причины, и, между прочим, все они исправлены с использованием новейших версий, насколько мне известно.)
Атаки через браузер могут не только позволить веб-сайту получить доступ к файлам, но и в принципе могут позволить веб-сайту полностью захватить ваш компьютер, в худшем случае. Проблема не ограничивается браузерами, посмотрите недавний пример уязвимости в видеозвонке WhatsApp. Около года назад была обнаружена уязвимость в широко распространенной серии маршрутизаторов DSL, которая позволила бы вредоносному веб-сайту захватить ваш маршрутизатор даже при наличии пароля, если только вы посещали веб-сайт со своего компьютера.
Уровень глупости, необходимый для успеха атаки, варьируется. Для некоторых атак конечный пользователь должен быть очень, очень глупым. Для некоторых атак пользователь должен быть не совсем осведомлен в течение доли секунды. И некоторые атаки будут работать, даже если пользователь не сделает ничего глупого, если будут соблюдены определенные условия.
Как правило, веб-сайт не может получить доступ к файлам на вашем жестком диске или их метаинформации. Тем не менее, вы должны знать пару вещей: